Auditul Sistemelor Informatice 2

Capitolul 1. Descrierea sistemului informațional și informatic la AFP Oltenița, jud. Călărași

1.1. Soluția de implementare

Soluțiile de implementare a aplicațiilor sunt elaborate și dispuse de către DGTI – București , nivelele 2 și 3 de regulă nu pot interveni în soluții în momentul utilizării lor.

Pentru implementarea aplicațiilor de regulă sunt transmise nivelelor 2 și 3 documentații prin care sunt oferite explicații referitoare la conținutul aplicațiilor și procedurile de lucru. Cu toate acestea în cazul aplicației Oblig această documentație nu a fost transmisă de către DGTI- București utilizatorului AFP Oltenița.

1.2. Arhitectura hardware și software

Platforma hardware utilizată este de tip client-server.

Sistemul de operare utilizat poate fi grupat în funcție de data dotării respectiv a caracteristicilor tehnice de funcționare, astfel :

Dotarea din 1998 de tip IBM:

Stații – Windows NT 4 workstation

Servere – Windows NT 4 server

Mainframe – AIX

Dotarea din 2003 – 2004

Stații-Windows 2000 profesional

Dotarea din 2004-2005

Stații Windows XP

Servere – Windows 2000 server

1.2.1. Structura hardware

Structurate pe configurații hardware și subunități organizatorice dotările TI se prezintă astfel :

a) Servere

Total instituție

– IBM Netfinity3000= 2 buc

– IBM P4 2,66Ghz= 1 buc

– IBM RS 6000= 1buc

Nivel 2 (AFP Oltenița – Serviciul IT)

– IBM Netfinity3000= 1buc

– IBM P4 2,66Ghz= 1buc

Nivel 3

AF- Municipiul Oltenița

– IBM RS 6000= 1buc

– IBM Netfinity3000= 1buc

b) Stații de lucru

Total instituție

Laptop IBM = 2buc

Laptop HP Centrino = 4buc

Laptop TOSHIBA = 1buc

Laptop TOSHIBA SATELITE = 1buc

Laptop COMPAQ 2100 = 1buc

Laptop LIFE = 1buc

IBM P4 2,66Ghz = 13 buc

IBM P2 300GL = 17 buc

P4 2,4Ghz = 9 buc

P4 2,6Ghz = 9 buc

P4 3Ghz = 9 buc

486 133MHz = 10 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

Laptop IBM = 2 buc

Laptop HP Centrino = 4 buc

Laptop TOSHIBA = 1buc

Laptop TOSHIBA SATELITE = 1buc

Laptop COMPAQ2100 = 1buc

Laptop LIFE = 1buc

IBM P4 2,66Ghz = 4 buc

IBM P2 300GL = 8 buc

P4 2,4Ghz = 6 buc

P4 2,6Ghz = 8 buc

P4 3Ghz = 6 buc

486 133MHz = 5 buc

Nivel 3

AF- Municipiul Oltenița

IBM P2 300GL = 9buc

IBM P4 2,66Ghz = 9buc

IBM Netvista = 1buc

P4 2,4 Ghz = 3buc

P4 2,6 Ghz = 1buc

P4 3Ghz = 3 buc

486 133MHz = 5 buc

c) imprimante

Total instituție

Imprimante diverse tipuri = 18 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

Imprimante diverse tipuri = 8 buc

Nivel 3

AF- Municipiul Oltenița

Imprimante diverse tipuri = 10 buc

d) UPS

Total instituție = 24 buc

Nivel 2 (AFP Oltenița – Serviciul IT) = 12 buc

Nivel 3

AF- Municipiul Oltenița = 12 buc

e) Echipamente rețea

Total instituție

– Modem MultiTech = 3 buc

– Modem U.S.Robotics = 8 buc

– HUB = 3 buc

– Switch = 15 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

– Modem MultiTech = 3 buc

– Modem U.S.Robotics = 8 buc

– HUB = 3 buc

– Switch = 15 buc

Nivel 3

AF – Municipiul Oltenița

nu deține

d) Alte echipamente

Total instituție

Echipamente multifuncționale = 3 buc

Scannere = 6 buc

Copiatoare = 9 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

Echipamente multifuncționale = 3 buc

Scannere = 4 buc

Copiatoare = 8 buc

Nivel 3

AF- Municipiul Oltenița

Scannere = 2 buc

Copiatoare = 1 buc

1.2.2. Structura software

Referitor la arhitectura software existentă în instituție, din constatările făcute cu ocazia desfășurării procedurilor de auditare, sunt instalate și utilizate pe tehnica de prelucrare a informațiilor numai software – uri pentru care există achiziționată licența de utilizare.

Structural aceste software-uri pot fi grupate în funcție tipul software-ului de locația în care sunt utilizate astfel :

a) Sisteme de operare server

Total instituție

IBM Aix = 3 buc

Windows NT Server v4 = 4 buc

Windows 2000 Server = 3 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

IBM Aix = 2 buc

Windows NT Server v4 = 3 buc

Windows 2000 Server = 3 buc

Nivel 3

AF Municipiul Oltenița

IBM Aix = 1 buc

Windows NT Server v4 = 1 buc

b) Sisteme de operare stație de lucru

Total instituție

Windows NT v4 = 12 buc

Windows XP = 27 buc

Windows 98 = 15 buc

Nivel 2 (AFP Oltenița – Serviciul IT)

Windows NT v4 = 4 buc

Windows XP = 10 buc

Windows 98 = 10 buc

Nivel 3

AF Municipiul Oltenița

Windows NT v4 = 8 buc

Windows XP = 17 buc

Windows 98 = 5 buc

c) Sisteme de gestiune a bazelor de date relaționate

Există licență pentru Oracle 8.0.5 la nivelul Ministerului Finanțelor Publice.

Accesul la Internet este permis doar unui număr limitat de stații (6) care sunt organizate într-o rețea separata de rețeaua de calculatoare a instituției.

d) Altele

Nivel 2 (AFP Oltenița – Serviciul IT)

Office Professional Small Edition 2002 = 13 buc

Office Professional 2002 = 4 buc

Nivel 3

AF Municipiul Oltenița

Office Professional Small Edition 2002 = 2 buc

Office Professional 2002 = 1buc

1.3. Resurse tehnologice și de personal

1.3.1. Resurse tehnologice

Așa cum rezultă din datele prezentate anterior, tehnica de calcul existentă la nivelul AFP Oltenița este îmbătrânită și ea nu mai corespunde din punct de vedere al capacităților hard-urilor și al calității procesoarelor nevoilor actuale de prelucrare a informațiilor

1.3.2. Resurse de personal

Personalul IT nu cunoaște programele și limbajele de programare specifice bazelor date ORACLE deoarece nu a fost școlarizat în acest sens ( cu excepția unei singure persoane, șeful IT care a fost la un curs de SQL în anul 1999). Menționăm că totuși personalul IT cunoaște limbajul SQL, cu ajutorul căruia realizează în special diverse interogări pe tabele și extragere de diverse date. În funcție de necesitățile cerute de utilizatori, care nu sunt rezolvate de aplicațiile ORACLE, personalul IT dezvoltă aplicații în FOXPRO 2.6 sau Visual FoxPro.

Capitolul 2. Stabilirea obiectivelor

Obiectivele controlului intern specifice sistemului informațional de la AFP Oltenița vor fi:

asigurarea integrității aplicațiilor informatice (în special a celor de gestiune) prin:

verificarea și autorizarea intrărilor de date;

o acuratețea, integritatea și securitatea prelucrărilor și tranzacțiilor de date;

acuratețea,integritatea și securitatea rapoartelor;

o integritatea bazelor de date;

asigurarea eficienței dezvoltării sau achiziției de aplicații informatice și asigurarea concordanței acestora cu obiectivele întreprinderii;

asigurarea eficacității și eficienței operațiilor și procedurilor din sistem;

asigurarea concordanței dintre procedurile, respectiv operațiile din sistem și reglementările legale și regulamentele interne în vigoare;

asigurarea recuperării datelor și continuarea activității în caz de dezastre sau evenimente neprevăzute.

Controlul aplicațiilor informatice reprezentând ansamblul procedurilor și tehnicilor, manuale sau automate pentru controlul intrărilor, prelucrărilor și ieșirilor aplicațiilor informatice va încerca să identifice, să evalueze și să testeze următoarele:

* Controlul intrării datelor. asigură autenticitatea, acuratețea și integralitatea datelor introduse în sistem, precum și respingerea, corectarea sau reintroducerea datelor eronate.

Prin autenticitate se asigură faptul că numai utilizatorii autorizați au acces la introducerea datelor. Practic această limitare se realizează prin definirea unor grupuri de utilizatori în cadrul sistemului, care vor avea acces diferențiat la diferitele module de intrare a datelor. Accesul se realizează pe baza autentificării utilizatorilor prin nume și parolă. Prin acuratețe se asigură faptul că datele introduse sunt reale, corecte și compatibile cu prelucrările din sistem. Practic acest lucru se realizează prin implementarea în sistem a procedurilor de verificare și validare a datelor introduse, cum ar fi: validarea codurilor, validarea lungimii datelor sau validarea încadrării datelor în anumite intervale. De exemplu calculul caracterelor de control pentru codurile produselor sau mărfurilor intrate.

Prin integralitate se asigură faptul că datele au fost introduse în totalitate fără omisiuni sau dubluri. Acest lucru se poate realizează prin calculul și compararea totalului sumelor introduse cu totalurile din documentele introduse.

* Controlul prelucrării (procesării), tranzacțiilor de date și a fișierelor de date. Asigură acuratețea și integralitatea prelucrărilor și tranzacțiilor, integritatea datelor stocate, atât pe loturi, cât și în timp real (online), precum și corectarea datelor eronate. Asigurarea acurateța prelucrării și tranzacționării datelor se realizează prin proceduri de validare a prelucrărilor și tranzacțiilor. Asigurarea integralității prelucrării și tranzacțiilor de date se poate realiza prin compararea tranzacțiilor intrate într-un modul cu tranzacțiile ieșite din modulul predecesor. Pot fi comparate, atât numărul tranzacțiilor, cât și totalul valorii acestora. Asigurarea integrității datelor stocate în baza de date se realizează prin integritatea referențială, integritatea tranzacțională, definirea constrângerilor de unicitate și de valoare, precum și definirea procedurilor de recuperare a datelor (backup).

Urmărirea și corectarea datelor eronate din cadrul prelucrărilor și tranzacțiilor de date se realizează prin înregistrarea erorilor și corectării acestora în cadrul unor fișiere de tip jurnal (log files).

* Controlul ieșirilor de date și informații. Asigură faptul că ieșirile sistemului sunt reale, corecte, integrale, securizate și distribuite în timp util utilizatorilor și factorilor decizionali corespunzători (autentificați), în cadrul procedurilor de control al ieșirilor pot fi enumerate următoarele: autorizarea generării ieșirilor; compararea totalurilor din cadrul rapoartelor cu totalurile din cadrul tranzacțiilor (de exemplu compararea rulajelor din balanță cu rulajele calculate din jurnal); autorizarea distribuției ieșirilor (doar utilizatorii autentificați trebuie să beneficieze de ieșirile sistemului); verificarea recepției ieșirilor către beneficiarii autentificați. De asemenea, în cadrul sistemului generarea și distribuția ieșirilor trebuie jurnalizată prin intermediul unor fișiere jurnal

Capitolul 3. Identificarea amenințărilor și vulnerabilității în tehnologia informațională

3.1. Riscurile din cadrul sistemelor informatice

Riscul din cadrul sistemului informațional reprezintă probabilitatea de apariție a unei pierderi care să afecteze negativ resursele informaționale și funcționalitatea sistemului.

Managementul riscului poate fi definit ca fiind procesul de identificare a vulnerabilităților și amenințărilor din cadrul instituției, precum și de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaționale din întreprindere.

Acest proces trebuie să existe la nivelul oricărei întreprinderi pentru a asigura atingerea cu succes a obiectivelor. întreprinderile pot, însă, transfera, ignora, accepta sau reduce riscul. Transferul riscurilor se poate realiza prin asigurarea mijloacelor expuse (asigurarea informatică sau a sistemului informatic). Ignorarea riscului poate să conducă la pierderi semnificative. Acceptarea riscului poate fi realizată în condițiile în care măsurile de control sunt mai costisitoare decât pierderea în sine. Reducerea riscului se realizează prin adoptarea unor proceduri de control a factorilor de risc.

Riscul sistemului informațional reprezintă probabilitatea de apariție a unor erori sau fraude datorită utilizării inadecvate a sistemului informațional. În cadrul controlului vor fi urmărite următoarele categorii de riscuri:

Riscurile la nivelul aplicațiilor și operațiilor din sistemul informatic. Acestea pot fi:

securitatea scăzută a aplicațiilor;

accesul neautorizat la datele sistemului;

introducerea unor date inadecvate sau false;

procesarea incompletă a datelor;

dublarea datelor tranzacționate;

procesarea cu întârziere a datelor;

nefuncționarea corectă a transmisiei datelor;

analiza și proiectarea defectuoasă a aplicațiilor;

incompatibilitatea dintre aplicațiile informatice;

infectarea aplicațiilor cu viruși electronici;

instruirea inadecvată a utilizatorilor;

suportul și mentenanța inadecvată a aplicațiilor;

Riscul de continuare a activității sistemului informatic. Reprezintă riscul asociat disponibilității și recuperării sistemului.

Riscul disponibilității sistemului reprezintă probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securității sale.

Riscul recuperării sistemului reprezintă probabilitatea ca datele și operațiile sistemului să nu mai poată fi recuperate în vederea continuării activității întreprinderii (de exemplu inexistența unor copii de siguranță și a procedurilor de recuperare și continuare a activității conduc la creșterea nivelului acestui risc).

Capitolul 4.Analiza riscurilor sistemului informatic și informațional

4.1. Structura organizatorică și profesională a personalului IT

Din punct de vedere organizatoric personalul IT din cadrul AFP Oltenița este structurat astfel:

La nivelul AFP

Structura personalului compusă din 18 posturi este următoare:

1 șef serviciu – ocupat

1 șef birou – ocupat

8 consilieri studii superioare din care 7 ocupate

1 vacant și blocat

8 referenți cu studii medii – ocupate

Serviciu IT

1 șef serviciu – ocupat

5 consilieri studii superioare din care :

2 ocupate

3 vacante și blocate

3 referenți studii medii din care:

2 ocupat

1 vacant și blocat

Pentru fiecare angajat IT sunt întocmite fișele posturilor care au fost făcute cunoscute în scris angajaților.

Din punct de vedere al studiilor efectuate, nivelul de pregătire al angajaților IT este corespunzător.

Datorită volumului mare de aplicații ce trebuiesc implementate, puse în exploatare și actualizate, pe servere și stațiile de lucru ale utilizatorilor, precum și a situațiilor realizate din afara meniurilor aplicațiilor, determină ca anumite cunoștințe IT să fie concentrate la nivelul unui număr restrâns de personal.

Evaluarea personalului IT se face anual, odată cu evaluarea întregului personal, conform criteriilor de performanță din fișa de evaluare a funcționarului public, transmisă de MFP.

4.2. Corespondența resurse-volum de muncă în compartimentele funcționale IT

Puse față în față capacitățile și performanțele tehnicii informatice ( harware-uri, servere, procesoare, subsisteme informatice, etc.) cu numărul, calificarea și gradul de instruire a personalului din compartimentele IT s-au desprins următoarele concluzii:

Personalul IT nu este suficient în raport cu volumul de muncă, datorită :

numărului mare de aplicații ce trebuiesc implementate, puse în exploatare, și actualizate pe servere și stațiile de lucru ale utilizatorilor în conformitate cu documentațiile sau instrucțiunile primite de la DGTI, operații care trebuiesc făcute în timp foarte scurt pentru a asigura funcționalitatea sistemului informatic în cele mai bune condiții.

diversele situații și rapoarte cerute de conducerea DGFP Călărași pentru asigurarea managementului propriu sau pentru a fi raportate la MFP și care nu sunt realizate de aplicații.

asigurarea funcționării tuturor echipamentelor (servere, stații de lucru, imprimante, echipamente de comunicații) care să nu determine perturbări în funcționarea întregului sistem informatic, astfel ca utilizatorii să-și poată desfășura activitatea în cele mai bune condiții.

Timpul de muncă a personalul IT este supraîncărcat ca urmare a gradului de îmbătrânire a tehnicii (achiziționată în cea mai mare parte în anii 1998-1999. În aceste condiții pentru actualizarea aplicațiilor acestea sunt lăsate să ruleze 24 de ore din 24 , chiar și după încheierea programului de lucru a salariaților.

4.3. Fluctuația personalului

Nivelul de salarizare și de acordare a stimulentelor salariale este ușor peste media salariilor instituției respectiv pentru personalul IT nivelul mediu al veniturilor anuale din salarii realizate pe angajat

Principala cauză invocată de personalul specializat în IT la renunțarea la contractul de muncă încheiat cu AFP Oltenița a fost nivelul de salarizare nesatisfăcător în raport cu propriile nevoi și lipsa perspectivei de creștere a lui în conjunctura legislativă respectivă.

4.4. Încrederea în IT

4.4.1. Complexitatea și documentația aplicațiilor informatice

Problematica referitoare la complexitatea și documentația aplicațiilor informatice a fost abordată din două puncte de vedere :

modul în care sunt percepute și agreate aplicațiile informatice de către salariații AFP Oltenița

modul în care sunt percepute și agreate aplicațiile informatice de către contribuabili

a) Modul în care sunt percepute și agreate aplicațiile informatice de către salariații AFP Oltenița

La nivelul AFP Oltenița și a subunităților sale organizatorice aplicațiile sunt, în cea mai mare parte, pentru completarea sau corectarea bazelor de date cu informații noi. Opiniile salariaților care exploatează aplicațiile pot fi grupate astfel :

interfețe accesibile, care nu presupun ca utilizatorii (operatorii aplicațiilor) să posede cunoștințe de specialitate IT deosebite;

aplicațiile fiind "standard" la nivel de MFP și subunități, iar accesibilitatea limitată acestea nu răspund întotdeauna unor situații excepționale, procedura rezolvării solicitând un anumit timp ;

pentru realizarea unor raportări individualizate se efectuează lucrări de prelucrare a informațiilor din baza de date în afara aplicațiilor, care însă ar putea fi realizate prin direcționarea informațiilor și către anumite locații de stocare accesibile pentru nivelele 2 și 3;

tehnica învechită îngreunează rularea aplicațiilor și de conduce la situații de inoperativitate;

transferul de informații de la o aplicație la alta este uneori perturbat, triggerele nesoluționând unele situații: De exemplu, în completarea machetei nr.2, AFP Oltenița, precizează: "Situația indicatorilor de performanță nu se poate transmite si raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori si neconcordante între informațiile preluate din aplicația Oblig, vector fiscal si de câmp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar și în termen).

4.5. Schimbări în IT

Dezvoltarea de aplicații informatice, achiziționarea de noi tehnologii precum și modificările sistemului informatic potrivit modului de organizare a Ministerului Finanțelor Publice intră în sfera de competență a acestuia

4.6. Externalizarea IT

4.6.1. Externalizarea

Externalizarea IT se referă strict la două grupe de activități și anume :

service-ul echipamentelor din dotare

achiziționarea de consumabile

4.6.2. Furnizorii IT

Riscurile ce pot decurge din contractele cu furnizorii sunt doar cele față de furnizorii de consumabile Pot fi situații când consumabilele furnizate de câștigătorul licitației electronice nu corespund criteriilor precizate prin licitația electronică. Aceste riscuri sunt rezolvate potrivit clauzelor contractuale prin returnarea respectivelor consumabile furnizorilor , care fie că transmit alte consumabile, fie prin renunțarea la tranzacție și înlocuirea furnizorului cu un altul câștigător al sistemul „E-licitații”. Restituirea consumabilelor necorespunzătoare precum și renunțarea la tranzacții determină lipsa stocurilor de consumabile siguranță, în anumite perioade, ceea ce conduce la perturbări în activitatea desfășurată.

4.6.3. Dezvoltarea de aplicații informatice de către utilizatori

AFP Oltenița, fiind utilizatori ai nivelelor 2 și 3 nu au dreptul de acces asupra aplicațiilor informatice proiectate și dezvoltate de DGTI-MFP , pentru a le dezvolta.

4.7. Focalizarea pe activitate

4.7.1. Conștientizarea conducerii privind riscurile IT

Conducerea AFP Oltenița a fost și este preocupată permanent de modul în care funcționează sistemul informatic atât hard cât și soft, este conștientă într-o măsură destul de mare de importanța sistemelor IT și a riscurilor conexe. Argumentul constă și în faptul că atât media salariilor cât și a stimulentelor salariaților IT este superioară mediei celorlalți salariați ai instituției.

4.7.2. Necesități curente comparativ cu funcționalitatea sistemului informatic

Sistemul informatic existent nu acoperă toate necesitățile activităților curente. Sunt activități pentru care MFP-DGTI , fie că nu a proiectat aplicații informatice sau cele existente nu satisfac toate cerințele utilizatorilor :

Colectare

Executare silita persoane juridice și fizice

Contabilitatea creanțelor bugetare

Activitatea de control fiscal

4.8. Securitatea informației

4.8.1. Motivația pentru fraudă/ infracțiuni (internă și externă)

Tipurile de informații gestionate de aplicațiile informatice sunt:

confidențiale

cu caracter secret ( cazier fiscal)

cu caracter public ( bilanțuri, cod fiscal, inactivi, restanțieri la buget)

În caz de fraudă reputația instituției ar fi afectată într-o foarte mare măsură și ar conduce la susceptibilitatea contribuabililor în a mai declara fără reținere informațiile solicitate prin declarațiile fiscale

4.8.2. Sensibilitatea datelor

Prin sistemul de limitare a accesului personalului la bazele de date ale aplicațiilor informatice se realizează un grad ridicat de confidențialitate a datelor gestionate. În anumite situații unele informații sunt criptate astfel încât să nu poată fi accesate de "intruși".

4.8.3. Legislație și regulamente

Domeniul de gestionare a datelor este sub incidența legislației cu caracter general privind securizarea informațiilor

Nu există date cu caracter personal gestionate de către aplicațiile IT.

Capitolul 5 Evaluarea controalelor sistemelor IT din AFP Oltenița

5.1. Managementul sistemelor IT

5.1.1. Implicarea conducerii în coordonarea activității IT

Conducerea AFP Oltenița a manifestat receptivitate la problematicele structurilor IT concurând prin soluții concrete la rezolvarea acestora în limita resurselor financiare existente. De asemenea, înțelegând situația neatractivă a salariilor din compartimentele IT comparativ cu salariile oferite personalului specializat în acest domeniu de pe piața muncii, a dirijat spre aceste compartimente o parte din resursele fondului de stimulente, atât media anuală a salariilor cât și media anuală a stimulentelor pe salariat fiind peste media personalului de execuție din celelalte activități.

Aportul susținut al managerilor AFP Oltenița în activitatea IT este rezultatul unei comunicări permanente intre acestea.

Având în vedere informarea permanentă a conducerii AFP Oltenița despre activitățile IT, implicarea acesteia are un caracter continuu în coordonarea activităților IT.

Între reprezentanții serviciului IT și conducere au loc întâlniri periodice, săptămânal în ședințe de lucru, problemele dezbătute fiind consemnate in procese verbale și ori de câte ori este nevoie prin informări verbale, discuții, referate în vederea clarificării și rezolvării problemelor apărute : implementări de noi aplicații distribuite de DGTI și MFP , solicitări ale utilizatorilor de aplicații, raportări către MFP, DGTI.

5.1.2. Planificarea activităților IT

Sistemul informatic implementat în cadrul AFP Oltenița și Administrațiile subordonate funcționează în baza Proiectului Director de Informatizare al MFP, elaborat de MFP DGTI, care conține strategia de informatizare a întregii structuri organizatorice a MFP inclusiv a activităților din subunitățile teritoriale ale acestuia.

În aceste condiții planul activităților IT din cadrul AFP Oltenița este corelat cu strategia de dezvoltare în domeniul IT implementată în cadrul MFP.

5.1.3. Managementul costurilor

La nivelul AFP Oltenița organizarea contabilității analitice, respectă planul de conturi al instituțiilor publice fără a detaila cheltuielile la nivel de compartimente funcționale ci numai pe subdiviziunile contului de execuție bugetară. Astfel, activitatea IT fiind inclusă ca un consumator comun de cheltuieli cu celelalte activități ale instituției nu pot fi identificate nici efectele pozitive a investițiilor în IT ( de exemplu, cu cât au crescut încasările ca urmare a urmăririi declarațiilor contribuabililor prin implementarea aplicației DECIMP, sau care a fost impactul în selectarea subiecților pentru efectuarea controalelor fiscale în urma implementării aplicațiilor CODFISC, DECIMP, VECTOR, SERADN, OBLIG etc. )

3.1.4. Raportarea către conducerea DGFP Călărași

La nivelul DGFP Călărași există practica raportărilor periodice a activităților IT către conducere :

raportări ale activității proprii specifice activității de IT săptămânal în cadrul ședințelor de lucru și trimestrial respectiv anual cu ocazia analizei activității întregii instituții.

raportări întocmite de serviciul IT care reflectă activitatea tuturor serviciilor și compartimentelor din cadrul DGFP

Dintre indicatorii de performanță IT aduși la cunoștința conducerii mai frecvent întâlniți sunt :

gradul de exploatare al echipamentelor care este foarte ridicat acestea lucrând și 24 de ore pe zii

impactul uzurii fizice si morale : din echipamentele din dotarea întregii instituții ( servere și stații de lucru) 56% sunt din dotarea IBM realizată la nivelul MFP in anul 1998 și 25% din calculatoare au fost achiziționate prin investiții extrabugetare in perioada 2003- 2004.

indicatori ai performanțelor activităților fiscale dar care pentru că nu există un sistem unitar de raportări și situații de ieșire pentru nivelele 2 și 3, care să satisfacă nevoia de cunoaștere a problematicelor de către manageri , datele din aplicații informatice sunt extrase și prelucrate manual în afara acestora de către utilizatorii nivelelor 2 și 3. Mai mult chiar la nivelul MFP , sunt cerute de la DGFP situații, care nu se regăsesc în meniurile aplicațiilor informatice ( ce sunt proiectate in SGDB ORACLE de către DGTI ) și care necesită suplimentar prelucrări manuale ale informațiilor.

5.1.5. Calitatea serviciilor și aplicațiilor IT

În construcția aplicațiilor IT nu există prevăzute clauze cu privire la calitatea serviciilor furnizate utilizatorilor interni. Utilizatorii nu au acces asupra sistemului pentru ai modifica performanțele.

5.1.6. Respectarea reglementărilor in domeniu

Responsabilitatea asigurării faptului că aplicațiile informatice sunt actualizate în conformitate cu ultima versiune furnizată este a șefului de serviciu IT, dar și a administratorilor de baze de date din cadrul IT.

Tot software-ul folosit ( sisteme de operare de tip AIX, Windows pentru servere și stații; Oracle 8.5 pentru servere și stații; soft comunicații Lotus Notes ; Micrsoft Office; Lotus Smarte ,etc) are la bază licențe.

Politica practicată în AFP Oltenița este interzicerea software-urilor fără licențe.

Periodic angajații serviciului TI fac verificări în acest sens.

5.1.7. Organizarea serviciului IT

Organizatoric și funcțional Serviciul IT este subordonat direct directorului executiv al DGFP Călărași

Pentru angajarea personalului ca cerințe sunt: studii de specialitate (obligatoriu), performante anterioare ( recomandare de la ultimul loc de munca sau de la instituția de învățământ absolvit), curicullum vitae, cazier judiciar din care să rezulte calitatea morală.

Evaluarea performanțelor personalului IT se realizează anual, atunci când se face și evaluarea performanțelor întregului personal din cadrul DGFP la cerințele MFP.

Personalul IT este instruit profesional lunar conform programelor de instruire profesională, care se raportează periodic (lunar ) la MFP.

Datorită faptului că numărul aplicațiilor informatice este foarte mare în raport cu numărul administratorilor de aplicații există dependență față de persoanele cheie. Impactul absenței acestora din instituție din diverse motive (caz de boală, concedii de odihnă, evenimente etc.) se resimte imediat, persoanele rămase fiind suprasolicitate și creându-se situații în care prin imposibilitatea rezolvării imediate a problemelor acestea să fie așezate pe o scară de priorități și rezolvate în timp.

Sarcinile de serviciu ale angajaților IT au fost stipulate în fișe de post și au fost aduse la în scris la cunoștința acestora.

5.1.8. Dezvoltări realizate de utilizatori

Aplicațiile implementate la nivelele 2 și 3 nu permit accesul utilizatorilor pentru a face lucrări de dezvoltare a lor

Datele extrase din aplicațiile de bază nu satisfac întotdeauna cerințele utilizatorilor, nu oferă informații suficiente necesare unor situații și raportări către conducerea DGFP sau MFP ceea ce determină efectuarea de prelucrări manuale ulterioare,

Prin promptitudinea conducerii acordă rezolvării problemelor întregului sistem informațional din cadrul AFP Oltenița rezultă locul de prioritatea maximă a activității IT în realizarea managementului instituției.

5.1.9. Externalizare

Funcționarea în parametri normali , în condițiile de mediu organizatoric al AFP Oltenița a condus la externalizarea unor activități IT și anume: service-ul echipamentelor din dotare, și sistemul de operare pe partea software, precum și achiziționarea de consumabile.

Pentru aceste activități există contracte semnate :

pentru activitatea de service a echipamentelor din dotare contractul este semnat la nivelul MFP cu firma Forte,un contract național;

activitatea de procurare consumabile se face prin licitație electronică pe sistemul electronic „E-licitatii” conform H182/2002, contractele fiind semnate la nivelul DGFP.

intervenție (SLA – Service Level Agreements) :

pe partea hardware timpul de intervenție specificat este de 24 ore

pe partea de achiziție consumabile, acestea se returnează in perioada de garanție conform specificațiilor din contract.

De asemenea, în contractele de service sunt stipulate clauze de confidențialitate .

Referitor la recuperarea informațiilor existente la un moment dat pe un hard-disc defect acesta este asigurată în totalitate, deoarece HDD la nivel de servere sunt organizate în matrice RAID astfel, încât, în cazul defectării unui HDD, informațiile se recuperează ușor de pe matricea RAID (practic informațiile nu pot fi pierdute). De asemenea aceste HDD sunt și „Mirror-ate”.

Pe stațiile de lucru obișnuite, de regulă, nu se păstrează informații vitale, acestea se înlocuiesc în service de firma FORTE, după care acestea se clonează potrivit cu procedurile emise de DGTI Bucuresti.

Prin externalizarea serviciilor și a achiziționării consumabililor există o dependență limitată (normală) , care se manifestă mai ales față de furnizorii de consumabile, dar sistemul „E-licitatii” generează alt câștigător în cazul că primul câștigător nu respectă sau nu mai încheie tranzacția. Pe partea hard-ware și soft-ware nu există dependență pentru că serviciul TI are specialiști ,angajați proprii, instruiți care să remedieze orice situație tehnică apărută.

5.2. Continuitatea sistemelor

5.2.1. Copii de siguranță (back-up) ale datelor, aplicațiilor și sistemelor

Există o procedură formală de salvare (back-up). ea a fost stabilita de DGTI București. Aceasta procedura a fost extinsa si chiar îmbunătățită. Ea se aplica la toate serverele din dotarea AFP Oltenița.

In fiecare noapte se declanșează o procedură de salvare automată pe serverul principal de lucru care a doua zi este verificată. Totodată se fac salvări manuale înaintea fiecărei modificări ale aplicațiilor vechi sau înaintea implementării aplicațiilor noi.

Săptămânal în weekend se declanșează automat proceduri de salvări totale ale unor aplicații vitale.

Lunar se fac manual salvări generale ale întregului server cu tot cu sistemul de operare. Stocarea copiilor de siguranță se face în dulapuri închise cu cheie in 2 camere distincte. Salvările se fac de regula pe benzii de tip DAT de 12 GB sau 20 GB, iar cele zilnice se fac direct pe HDD-uri organizate RAID1.

De asemenea, la nivelul AFP Oltenița există o procedură de testare a copiilor de siguranță, acesta se face în platforma de test a DGTI si AFP Oltenița pentru sisteme IT ai căror utilizatori sunt serviciile și birourile din cadrul AFP Oltenița

Procedura de testare a procedurilor de salvare se verifica ori de câte ori aceasta se modifica.

La nivelul AFP Oltenița există și o procedură de recuperare / restaurare ea fiind este stabilita de DGTI.

Timpul necesar restaurării datelor /aplicațiilor/sistemelor, a fost analizat de instituție , dar numai cel necesar serverelor de test , acesta fiind diferit în funcție de aplicație și de mărimea bazei de date.

5.2.2. Managementul capacității

Conducerea AFP Oltenița, împreună cu specialiști IT din instituție au realizat periodic câte o analiză a capacității pentru hardware și pentru rețea. Odată cu creșterea nivelului de informatizare, cu versiuni noi ale programelor utilizate s-a impus si actualizarea hardware a tehnicii de calcul. Practic s-a renunțat la parcul de tehnica de calcul de dinainte de 1998, iar tendința este de a schimba și parcul de tehnică de calcul uzată moral. Acest lucru se face însa centralizat la nivel MFP întrucât implica resurse financiare foarte mari. In timp toate stațiile din dotare au fost upgradate cel puțin din punct de vedere a memoriei RAM, unele chiar și din punct de vedere a capacității HDD-urilor. De asemenea, traficul în rețea este monitorizat permanent prin utilizarea doar a echipamentelor active de rețea cu management. In ultimul timp s-au înlocuit în proporție de 80% echipamentele active de rețea cu porturi de 10 MHz cu echipamente active de rețea cu porturi de 100 MHz, iar viteza pe back bone-ul de cascadare a crescut de la 400 MHz la 2GHz.

Referitor la analiza performanțelor și a capacităților aplicațiilor IT specialiștii IT din AFP Oltenița au cules de la unitățile fiscale din subordine date pe care le-au transmis DGTI-Bicurești în vederea realizării acesteia.

Pentru rezolvarea gâtuirilor din rețea traficul este monitorizat si se încearcă prin interconectarea echipamentelor active de rețea o echilibrare a rețelei care să ducă la evitarea coliziunilor în rețea. Orice sesizare de gâtuire a traficului se rezolvă cu ajutorul software-ului de management ale echipamentelor active de rețea.

5.2.3. Managementul problemelor

Comunicarea serviciului IT externalizat a apariției unei probleme se realizează după acordarea primului nivel de asistenta primara la apariția problemei și dacă problemele persistă. La sesizare firma de service FORTE întocmește un formular de mentenență în care trece natura defectului și modul de soluționare, iar dacă aceasta implica un timp mai îndelungat de reparare respectivul echipament sau subansamblu este înlocuit cu unul de service.

Evidența problemelor în cadrul serviciului IT se ține cu ajutorul unui registru al problemelor care în fapt este un program de verificare, întreținere și evidență a tehnicii de calcul elaborat de DGTI și prin care se raportează lunar problemele survenite.

Analiza problemelor IT având în vedere specificitatea lor se face la nivel central DGTI, dar despre acestea este informată și conducerea AFP Oltenița de existența problemelor majore si recomandările făcute în sensul remedierii acestora.

Procedura urmăririi problemelor rămase deschise este asigurată prin formularele de mentenanță care trebuie închise in momentul soluționării acestora.

De asemenea, în caz de nerezolvare a problemelor de către firma FORTE există prevăzut în contract procedura care trebuie urmată , la nivelul AFP Oltenița nu au existat însă astfel de situații.

5.2.4. Planificarea continuității

Procedurile pentru fiecare tip de operație în parte sunt elaborate și ele trebuiesc urmate de întregul personal.

Planificarea procedurilor este revizuită și reevaluată periodic, ca urmare a doi factori principali :

Un prim factor determinant cu implicații în respectarea procedurilor obligatorii îl constituie fluctuațiile pe linie de personal care presupune un timp de acomodare si de însușire ale acestor proceduri, dar ele sunt clare, stabilite prin fișa postului.

Un al doilea factor determinant îl constituie, destul de desele schimbări legislative, care atrag modificări esențiale ale aplicațiilor informatice și care conduc la rândul lor la îngreunarea realizărilor unor situații pentru perioade de timp exercitate în exerciții bugetare diferite.

În vederea eliminării eventualelor probleme sau incidente procedurile sunt testate periodic.

5.2.5. Managementul operațiunilor IT

Proceduri operaționale IT sunt documentate responsabil de actualizarea procedurilor operaționale IT fiind șeful serviciului TI din cadrul AFP Oltenița

Pentru realizarea protecției întregului sistem TI împotriva virușilor se utilizează ca soluții

Pentru protecția împotriva virușilor a tuturor serverelor și stațiilor de lucru este utilizată soluția Norton Symatec Corporate Edition v.9.0.0.338, care este actualizată bisăptămânal de la nivelul DGTI -București prin on-line de pe serverul central.

Ca soluție de protecție suplimentară , utilizatorii nu cunosc parola de instalare sau dezinstalare a software-ului antivirus deci nu pot dezactiva acest soft.

Software-ul antivirus este rezident în memorie cu opțiunea "auto-protect" activă, el scanând toate fișierele de pe servere și stațiile de lucru automat și periodic.

5.2.6. Managementul configurațiilor

Din raționamente legate de modul de exploatare în condiții de siguranță a tehnicii informatice, serviciul de tehnologia informației își desfășoară activitatea în încă 4 săli în afara sălii destinată serverelor.

5.3. Managementul schimbării și dezvoltarea de sistem, a proiectelor și calității

Modificarea sau dezvoltarea aplicațiilor informatice se realizează în exclusivitate la nivel de DGTI Bucuresti

La nivel de AFP Oltenița , opiniile față de acest subiect sunt formulate accidental, cu ocazia soluționării problematicilor cu care se confruntă specialiștii IT. Datorită insuficienței numărului de personal, precum și a încărcăturii cu sarcini de serviciu curente la nivel de salariat IT, realizarea unor studii sau analize privind managementul schimbării sau dezvoltării de sistem este dificil de realizat , în condițiile actuale.

5.4. Securitatea fizică și controalele de mediu

5.4.1. Controlul accesului fizic

Încăperea destinată serverelor este localizata la nivelul Serviciului Tehnologia Informației. Este o camera cu acces restricționat la nivelul administratorilor de sistem si a administratorilor bazelor de date. In aceasta încăpere nu exista personal care sa-si desfășoare activitatea curent. Aici se intra doar atunci când sunt necesare intervenții direct de la consola serverelor. In general monitorizarea activității serverelor se face prin rețea.

Există proceduri formale de acces în locația care găzduiește echipamentele IT importante. Încăperea fiind încuiata în permanență, accesul este clar restricționat. Cheia de la aceasta încăpere o are doar seful de serviciu TI (administrator baze de date) și șeful de birou exploatări echipamente (inginer de sistem)

Acces la servere o are unul din cei 2 posesori ai cheii de acces, iar cu acordul acestora si ceilalți administratori de aplicații.

Accesul la servere se face prin cheia de acces la sala serverelor. Orice intervenție la consola serverelor este verificabilă prin log-urile de monitorizare. Administratorii de aplicații se conectează pe conturile specifice fiecărei aplicații astfel încât se poate verifica ce utilizator a accesat serverul și la ce ora.

În instituție nu sunt utilizate ca forme de acces cartelele , iar pentru vizitatori nu se acordă nici o dispensă de acces, indiferent dacă aceștia ar fi sau nu însoțiți.

5.4 2. Protecția mediului

In încăperea serverelor exista aer condiționat și dispozitive UPS.

Serverele din dotare nu sunt de tipul rack-mount. In rack-uri sunt găzduite doar echipamentele active de rețea si patch-panel-urile.

Cablurile de rețea sunt in totalitate protejate de canalete PVC. Etichetarea s-a făcut prin marcere cu marker permanent la cablarea veche (1999) și etichete tipărite și protejate la cablarea din clădirea (C3) a instituției în care se află locația serverelor.

5.5. Securitatea informației și a sistemelor

5.5.1. Politici de securitate

Întotdeauna a existat la nivelul instituției o politica de securitate IT. Practic parolele pe serverele și stațiile de lucru la nivel de administrator sau root functie de sistemul de operare, sunt cunoscute doar de administratori de baze de date și de sistem. Persoana responsabilă cu actualizarea acestei politici este seful de serviciu TI. Aceasta politică este distribuită în realizare doar administratorilor implicați în implementarea acestor masuri de securitate.

Pentru a crește conștientizarea în cadrul instituției cu privire la securitate sau făcut instructaje atât cu cei ce administrează sistemul informatic la nivelele inferioare cit si cu utilizatorii stațiilor de lucru. Aceștia preiau stațiile de lucru gata configurate, cu contul de administrator parolat si sunt avertizați cu privire la instalarea programelor neautorizate.

Utilizatorii au semnat doar in legătură cu interzicerea instalării programelor neautorizate si în legătură cu prevederile legii drepturilor de autor, la primirea calculatorului din dotare.

5.5.2. Administrarea securității

Administrarea securității IT este responsabilitatea inginerului de sistem după ce a luat la cunoștință de politica de securitate trasata de seful serviciului TI. Îndatoririle acestuia sunt trasate de seful serviciului TI.

Aplicarea politicilor de securitate acoperă toate activitățile IT într-un mod consistent

5.5.3. Controlul accesului logic

Revizuirea logurilor. Logurile aplicațiilor importante sunt monitorizate și analizate periodic. In unele aplicații mai ales în domeniul comunicațiilor, analiza logurilor este chiar esențială. Administratorul de sistem verifică periodic log-ul care arată câte încercări sunt de a trece de parola de root, iar ceilalți administratori de aplicații monitorizează log-urile care însoțesc toate exporturile sau modificările pe aplicații.

Administrarea utilizatorilor Procedura administrării utilizatorilor a fost elaborata în platformele de test ale DGTI București. Odată stabilite drepturile utilizatorilor sau implementat pe o stație pilot care s-a clonat pe toate stațiile din dotarea MFP.

Persoana care pleacă din instituție dacă este un utilizator obișnuit nu implică nici o acțiune specială deoarece nu a avut acces la nivelul zero de securitate, daca în schimb este un administrator de baze de date sau de rețea acest fapt atrage după sine schimbarea tuturor parolelor de pe conturile de administrare.

Crearea conturilor de utilizator este stabilită prin procedura administrării utilizatorilor elaborată de DGTI București. Aceasta procedura nu poate fi modificata.

Membrii rețelei sunt filtrați in permanență pentru a împiedica accese neautorizate la nivelele primare dar și pentru a monitoriza în general activitatea în rețea.

Reguli pentru parole. Stabilirea parolelor se face conform normelor de securitate tratate la cursurile de administrare a rețelei. De regula parolele au 12 caractere, este formată din caractere minuscule si majuscule si conțin minim 2-3 cifre. Pe stațiile obișnuite de lucru parolele la contul de administrator se schimbă cel puțin odată pe lună dacă nu sunt evenimente, iar la servere săptămânal. După 3 încercară nereușite de logare se consideră încercare de fraudare si se blochează automat contul. Deblocarea contului se face de către administratorul de rețea de pe contul de administrator. Parolele vechi sunt gestionate cu ajutorul unui program de gestionare a rețelei livrat de IBM: Netfinity Manager. Utilizatorii nu sunt forțați să schimbe parola la prima accesare pentru că parolele sunt elaborate așa cum s-a relatat mai sus si nu sunt stabilite de utilizatori.

Control asupra conturilor cu drepturi depline/utilitare de sistem. Dreptul de administrare pentru aplicațiile de bază are seful serviciului TI. Alocarea și autorizarea conturilor cu drepturi depline se face de către seful serviciului TI. Monitorizarea lor se face de către inginerul de sistem.

Acces IT. Programatorii au drepturi de acces la datele reale, dar nu au drept de a le modifica. Serviciul IT are drepturi de acces la datele celorlalte structuri ale AFP Oltenița cu excepția nivelului de conducere

5.5.4. Conexiuni externe

Protejarea conexiunilor externe împotriva atacurilor informatice (viruși, acces neautorizat). Nici o stație cu acces la exterior (internet) nu este membră a rețelei de date interne. Practic este imposibil astfel să se acceseze o stație sau server din afara rețelei interne de date. Pericolul poate veni doar de la contribuabili care depun datele proprii în format electronic prin discheta. Astfel stațiile operatorilor care preiau date sunt verificate suplimentar pentru a preveni accesul vreunui virus în rețeaua proprie. Detectarea virușilor pe dischetele contribuabililor duce la refuzarea preluării datelor agentului respectiv până nu duce o discheta verificată. Accese neautorizate nu s-au detectat decât în mod accidental (neintenționat).

Proceduri de control al accesului de la distanță există numai la nivelele 1 (MFP) și 2 (DGFP).

Ca măsuri de securitate aplicate pentru a controla accesul de la distanță sunt utilizate parolele.

Capitolul 6 Raportul de Audit

Aspecte privind administratorii și utilizatorii aplicațiilor, documentațiile aplicațiilor, prelucrarea datelor, situațiile de ieșire, salvările bazelor de date

Specialiștii IT asigură întreținerea și salvările bazelor de date, implementarea, punerea în funcțiune, actualizarea aplicațiilor proiectate și distribuite de DGTI.

Utilizatorii aplicațiilor reprezintă întregul personal din AFP Oltenița care exploatează aceste aplicații în vederea scoaterii diverselor situații necesare raportărilor spre conducerea DGFP sau MFP.

Aplicațiile informatice au fost proiectate de specialiștii din DGTI-MFP utilizând următoarele programe și limbaje de programare : ORACLE Developer , ORACLE Designer , PL/SQL, SQL, SQL Plus.

Personalul IT din cadrul AFP Oltenița nu a fost pregătit de către instituție (prin cursuri organizate la nivelul MFP) privind cunoașterea acestor programe și limbaje de programare specifice bazelor date ORACLE . Există o singură excepție , șeful IT care a fost la un curs de SQL organizat de MFP în anul 1999.

Menționăm că totuși personalul IT cunoaște limbajul SQL, cu ajutorul căruia realizează în special diverse interogări pe tabele și extragere de diverse date. În funcție ne necesitățile cerute de utilizatori , care nu sunt rezolvate de aplicațiile ORACLE, personalul IT dezvoltă aplicații în FOXPRO 2.6 sau Visual FoxPro.

Accesul la programele și datele aplicațiilor este asigurat prin parole de sistem, parole pe aplicații, parole pe grupuri de utilizatori și parole pe fiecare utilizator, iar informațiile din baza de date ORACLE sunt codificate și supuse unor algoritmi de criptare. Pe toate serverele și stațiile de lucru parolele sunt create astfel încât să nu fie vizibile. Accesul utilizatorilor la aplicații se realizează în funcție de serviciile din care fac parte și atribuțiile care le revin prin aplicații , fiind definite grupuri de utilizatori cu drepturi specifice.

Documentațiile noilor aplicații proiectate în Oracle sunt elaborate de specialiștii DGTI-MFP. Aceste documentații cuprind următoarele module :

Mediu de implementare

Mediu de testare

Mediu de utilizare (operare)

Cu privire la partea de instalare, punere în funcțiune a aplicațiilor și implementare documentațiile sunt corespunzătoare, dar partea cuprinzând manualul utilizatorului nu este corespunzătore, nu conține informații și explicații suficiente pentru ca utilizatorul să se poată descurca singur în exploatarea aplicației. În general utilizatorii nu sunt mulțumiți de documentațiile ce cuprind exploatarea aplicațiilor : sunt prezentate cu caracter general, nu cuprind explicații necesare la diverse cazuri particulare ceea ce determină ținerea permanentă a legăturii cu proiectantul din DGTI ( telefonic sau e-mail ) și conduc la nerezolvarea la timp a solicitărilor contribuabililor.

Actualizările de aplicații făcute ulterior elaborării documentațiilor și nu sunt transmise la timp și utilizatorilor.

Activitatea utilizatorilor este supervizată de către însăși modul de derulare a aplicațiilor, precum și de persoanele responsabile cu aceasta din cadrul AFP Oltenița

Bazele de date ORACLE se salvează zilnic ( în fiecare noapte se declanșează o procedură automată de salvare stabilită de DGTI și personalul IT). Aceste salvări se păstrează pe stații de lucru, cel puțin o lună sau mai mult în funcție de importanța lor. De asemenea, se fac salvări săptămânale a tuturor bazelor de date ORACLE dar și a celorlalte aplicații proprii din FOXPRO, cât și salvări lunare care mai includ și salvările de sistem de operare, acestea se păstrează cel puțin un an de zile pe CD-uri, harduri, benzi.

Datele sunt verificate înaintea introducerii în sistemul informatic de către aplicațiile de asistență contribuabili și apoi de aplicațiile informatice ale sistemului ORACLE precum și de utilizatorii aplicațiilor prin confruntarea documentelor pe suport hârtie depuse la serviciile sau compartimentele registrul contribuabililor

Machetele de culegere date din aplicațiile informatice sunt conform documentelor sursă, astfel încât prelucrarea datelor informatic nu prezintă probleme.

Documentele pe suport de hârtie sunt păstrate conform reglementărilor legale în vigoare.

Ecranele de preluare a datelor sunt în conformitate cu formularele.

Eventualele erori în ceea ce privesc datele de intrare care scapă la validările aplicațiilor informatice sunt corectate când acestea sunt depistate în situațiile de ieșire oferite de sistemul informatic.

In general SGBD Oracle și aplicațiile din cadrul sistemului informatic asigură o mare integritate a datelor, sistemul oferind informații concludente specialiștilor din cadrul STI atunci când datele sunt invalide sau sistemul prezintă depășiri ale resurselor alocate.

Situațiile de ieșire sunt furnizate de aplicațiile informatice proiectate de DGTI direct utilizatorilor, deci ele sunt distribuite în timp util beneficiarilor.

Aplicațiile informatice proiectate de DGTI în SGBD ORACLE nu oferă toate situațiile de ieșire pe care le solicită utilizatorii pentru diverse situații și raportări spre conducerea DGTI sau MFP.

Sunt situații de ieșire oferite de aplicații care potrivit utilizatorilor nu sunt eficiente și relevante sau nu oferă informațiile în structura în care aceștia sau conducerea le solicită.

Conform celor precizate mai sus sunt necesare rapoarte suplimentare, care au fost solicitate proiectanților din DGTI (la unele solicitări AFP Oltenița a primit răspuns dar la altele nu ).

Evaluarea aplicațiilor informatice

Registrul contribuabililor persoane juridice

Subsistemul informatic Registrul contribuabililor persoane juridice este un sistem computerizat on-line la nivelul Ministerului Finanțelor Publice și a unităților subordonate cu terminal și la nivelul Ministerului Justiției, respectiv a Oficiului Național al Registrului Comerțului și a subunităților sale.

Scopul subsistemului "Registrul contribuabililor persoane juridice" este gestiunea declarațiilor de înregistrare fiscală și mențiuni.

Subsistemul permite utilizatorilor inițializarea în mod direct a funcțiilor: introducerea datelor, investigații, rapoarte de solicitare, actualizarea fișierelor principale.

Ca terminale sunt utilizate microcomputere din tipul terminalelor cu scop general.

Aceste dispozitive terminale sunt amplasate la distanță, pentru conectare folosesc telecomunicațiile.

Dispozitivele terminale în aplicația Cod Fiscal sunt utilizate de salariați ai compartimentelor AFP Oltenița care au dreptul să consulte informații despre agenții economici, la subsistem având acces și utilizatori externi entității auditate respectiv salariați ai Oficiului Național al Registrului Comerțului.

În funcție de modul cum este introdusă informația în subsistem , de modul în care este procesată și momentul la care rezultatele sunt disponibile utilizatorilor, aplicația Cod fiscal este preponderent de tipul "Procesare de descărcare/încărcare on-line" și cu unele caracteristici minore ale "procesării on-line/de lot", așa cum sunt acestea definite de Standardul de audit financiar nr.1002.

Puncte slabe

Întrucât aplicația utilizează nomenclatoarele străzilor si arterelor de circulație, se întâmpină dificultăți la prelucrarea adreselor de sediu ale agenților economici, care nu se regăsesc în nomenclator, precum și la preluarea datelor transmise de ORC, instituție care nu lucrează cu aceste nomenclatoare;

Aplicația nu permite înregistrarea sediilor secundare fără cod fiscal;

Aplicația nu oferă posibilitatea efectuării de numărători statistice ale agenților economici, necesare in administrarea Registrului Contribuabililor;

Transmiterea și preluarea loturilor se realizează în intervale îndelungate de timp;

Imposibilitatea de a se prelucra în timp util declarațiile de mențiuni privind vectorul fiscal, datorită numărului limitat al înregistrărilor care pot fi transmise într-un lot și a faptului că modificările de vector fiscal trebuie operate și transmise în doua etape declarațiile fiind prelucrate astfel de doua ori;

Imposibilitatea de a radia codurile fiscale aparținând persoanelor fizice;

Transferurile de sediu in alt județ operate de O.R.C. nu se actualizează în evidenta fiscala;

În cazurile de radiere a codurilor fiscale pentru plătitorii de taxa pe valoarea adăugată, operate de ORC este necesara revenirea pe fiecare înregistrare pentru a fi operata scoaterea din evidența ca plătitor de TVA, în caz contrar agentul rămânând în evidența fiscală ca plătitor de TVA, cu obligații declarative pentru acest impozit;

Datele primite de la ORC privind vectorul fiscal declarat la înființare de către comercianți, nu sunt conforme cu realitatea, având înscrisă data luării în evidență ca plătitor de impozite și taxe anul 55555, fără posibilitatea de a fi corectate la nivelul organului fiscal;

Aplicația nu este corelata cu aplicația informatică ”INACTIVI”, pentru a oferi posibilitatea marcării agenților economici înscriși în evidența specială a contribuabililor inactivi, cu posibilitatea identificării exacte a contribuabililor activi, pe tipuri de impozite si taxe;

Nepreluarea unor înregistrări transmise de către ORC prin containere de informații, ceea ce conduce ca la nivelul DGFP să se opereze acelorași informații în mod repetat.

Puncte tari

Oferă organelor fiscale o evidență a persoanelor juridice încă de la momentul constituirii lor și până la momentul desființării juridice a acestora.

Gestiunea declarațiilor de impozite și taxe

Scopul sistemului Gestiunea declarațiilor de impozite și taxe (DECIMP) constă în gestionarea declarațiilor privind impozitele si taxele datorate bugetului de stat de către contribuabili.

Exploatarea sistemul DECIMP este organizată pe trei nivele funcționale și anume:

Nivelul 1 – DGTI din cadrul Ministerul Finanțelor Publice

Nivelul 2 – Direcțiile Generale ale Finanțelor Publice Județene și a municipiului București

Nivelul 3 – Unitățile operative : Administrațiile Financiare, Circumscripții Fiscale, Percepții Rurale.

Puncte slabe

Aplicația nu oferă posibilitatea generării unui centralizator al declarațiilor rectificative în funcție de perioada în care acestea au fost depuse, pentru a se putea urmării debitele suplimentare înregistrate de organul fiscal în fiecare perioadă de raportare;

Aplicația nu este corelata cu aplicația INACTIVI, respectiv cu aplicația VECTOR neoferind posibilitatea identificării exacte a contribuabililor activi, cu obligații declarative;

Aplicația nu oferă posibilitatea înregistrării agenților economici care au solicitat si beneficiază de regim derogatoriu pentru depunerea declarațiilor fiscale.

Neconcordanta între situația reală existentă a agenților economici care nu au depus declarații, și a celei extrase din programul informatic, datorită necorelării programului privind vectorul fiscal cu aplicația "decimp".

Centralizatorul cuprinzând declarațiile și deconturile TVA cu erori de declarare nu precizează la ce tip de impozit exista eroarea

Nu exista posibilitatea evidențierii societăților care beneficiază de regim derogatoriu de depunere a declarațiilor

Nu generează notificări pentru contribuabili cu erori în declarații, necorelări între aplicația Vector fiscal si aplicația Decimp

Vectorul fiscal al contribuabililor

Puncte slabe

Aplicația nu este corelată cu aplicația “ INACTIVI”, neoferind posibilitatea identificării exacte a contribuabililor activi, cu obligații declarative, pe categorii de impozite si taxe;

Aplicația nu oferă posibilitatea realizării unor situații nominale ale plătitorilor, în funcție de obligațiile declarative;

Evaluarea riscului pentru administrarea deconturilor negative cu opțiune de rambursare

Puncte slabe

Standardul Individual Negativ calculat prin aplicația informatică SERDN, are valoare unitară pentru contribuabilii care și-au mutat domiciliul fiscal în raza teritorială a altei unități fiscale, chiar dacă în baza de date a direcției generale a finanțelor publice județeană, societatea figurează cu toate declarațiile și situațiile financiare depuse în termenul legal. Menționăm că aplicația SERADN nu permite preluarea de la altă unitate fiscală a SIN-ului recalculat pentru noul an fiscal.

Aplicația informatică SERADN, nu oferă posibilitatea emiterii unor noi decizii de rambursare, în cazul întocmirii de către Activitatea de Inspecție Fiscală, a unui nou raport de inspecție fiscală, ca urmare a reverificării, prin care se dispune rambursarea totală sau parțială a taxei pe valoarea adăugată contestată de către societate;

Aplicația nu oferă posibilitatea realizării informatice a anexei nr.1 la O.M.F.P. nr. 515/2004, datorita faptului ca deconturile cu sume negative de TVA cu opțiune de rambursare nu oferă suficiente informații asupra motivației sumei solicitate la rambursare.

Aplicatia nu ofera posibilitatea centralizarii a nivelul judetului a anexei nr. 6 la O.M.F.P. nr.338/2004, respectiv a anexelor nr. 1, 2 si 3 la O.M.F.P. nr. 515/2004;

Nu permite selectarea si repartizarea pe inspectori al Deconturilor negative cu opțiune de rambursare (DNOR);

La elaborarea deciziilor de rambursare nu se preiau datele de identificare complete ale contribuabililor;

Lu permite imprimarea fiselor SIN doar pentru DNOR-urile din luna de raportare, pentru listarea acestora fiind necesara intrarea pe fiecare cod fiscal.

În cadrul listelor pe care le editează (borderouri, evidenta cererilor de rambursare, recapitulare DNOR) ordonează societățile după gradul de risc, utilizatorul optând frecvent pentru o ordonare a acestora si in ordine alfabetica,opțiune inexistentă în aplicație.

S-au constatat situații în care sunt dublate sau sunt eliminate unele DNOR;

Nu oferă o opțiune prin care să se poată stabili stadiul de rezolvare al unui DNOR.

Borderoul de predare pentru control ulterior ( RISC MIC SI MEDIU SCAZUT) cuprinde si DNOR cu risc mediu scăzut sub 60 de puncte, rezolvate de compartimentul analiza DNOR . Acest borderou trebuie transmis pana la data de 1 a lunii următoare, pentru cuprinderea în programul de inspecție fiscala. Având în vedere faptul ca pana la data de 1 nu sunt soluționate toate DNOR de către serviciul de specialitate , acest borderou nu reflecta realitatea si nu poate fi folosit.

Puncte tari

A crescut considerabil numărul rambursărilor de TVA realizate în perioade optime de timp atât pentru contribuabil cât și pentru organul fiscal.

Evidența analitică pe plătitori

Pentru implementarea aplicației OBLIG "Evidența analitică pe plătitori" autorul acesteia DGTI București nu a transmis AFP Oltenița documentația referitoare la aceasta.

Din rularea subsistemului Oblig la nivele 2 (AFP Oltenița) și 3 AF din subordinea AFP Oltenița s-au constatat următoarele puncte slabe :

Aplicația rulează foarte încet

La obligația reprezentând TVA nu se pot efectua scăderi (pentru debitele anulate conform sentințelor judecătorești) ceea ce generează sold incorect pe plătitor

Nu se pot efectua corecții la debitări eronate

Deși se introduc în lucrarea de evidență analitică pe plătitor reorganizările judiciare, nu există opțiunea pentru raportarea sub formă de listă a plătitorilor pentru care s-a început reorganizarea judiciară și de asemenea nu există posibilitatea demarcării societăților pentru care nu s-a aprobat intrarea în reorganizarea judiciară

Emiterea și transmiterea privind obligațiile de plată la bugetul general consolidat conform Legii 161 din 2003 nu corespunde cu situația reală a agenților economici datorită operațiunii eronate conținută de aplicație privind stingere a plăților

Prezintă dificultăți în exploatarea aplicației și anume în cazul executării lucrării pe mai multe stații concomitent și ținând cont de numărul limitat de poziții care pot fi încărcate pentru salvare, la un moment dat aplicația întrerupe rularea fără vreo avertizare prealabila si fără a oferii informații referitoare la numărul de poziții care va fi salvat (s-au semnalat de către utilizatori situații când o bună parte din rânduri nu se salvează)

Emiterea si transmiterea înștiințărilor de plata cf. OG 92/2003 nu se pot efectua informatic întrucât o înștiințare conține un număr mai mare de pagini( fiecărui tip de impozit si fiecărei scadențe fiindu-le atribuita o pagina), ajungându-se la o societate sa fie emise un număr de 200 de pagini

Emiterea si transmiterea notificărilor privind obligațiile de plata la bugetul general consolidat conform Legii161/2003 nu corespunde cu situația reală a agenților economici datorita operațiunii de stingere conținută de aplicație și care nu este în corelație cu normele fiscale

Sunt întâmpinate greutăți în întocmirea situațiilor privind creanțele bugetare întrucât acestea nu pot fi realizate prin preluarea datelor de la aplicația OBLIG de către aplicația Indicatori , raportările realizându-se în mod curent în afara aplicațiilor prin prelucrarea manuală a unor extracte din baza de date OBLIG

Prin program nu pot fi realizate rapoarte necesare în activitatea fiscală care să cuprindă lista soldurilor pe agenți economici, pe clasificație bugetară, pe soldul unității fiscale,lista de rămășițe la sfârșitul anului

Nerăspunderea aplicației OBLIG la cerințele de corelare cu, informațiile conținute de aplicația Decimp si cu evidența trezoreriei în ceea ce privesc vărsămintele de la persoanele juridice pentru persoanele cu handicap neîncadrate, ceea ce conduce la solduri eronate la această creanță bugetară

Nu pot fi realizate rapoarte cu privire la debite, altele decât cele din decimp (procese verbale de calcul accesorii, procese verbale de contravenție, etc.)

Nu pot fi realizate rapoarte cu privire la suprasolvirile la sfârșit de an

Din evidenta analitica pe plătitor, nu pot fi realizate rapoarte care să respecte prevederile OMF 531/2003 și anume : fișa recapitulativa cu privire la obligațiile bugetare restante in care se reflecta sintetic situația debitelor si accesoriilor aferente pe categorii de venituri; situația centralizatoare a obligațiilor restante pe organ fiscal teritorial; situația centralizatoare a veniturilor bugetare si modalitățile lor de stingere pe fiecare organ teritorial, pentru obligațiile bugetare cu termen de plata în anul curent și distinct pe obligații bugetare neachitate în anii precedenți.

Urmărirea la plată a obligațiilor restante la bugetul de stat (INLESNIRI)

Aplicația are ca scop urmărirea datelor privind achitarea înlesnirilor la plata pentru recuperarea arieratelor bugetare.

Principalele obiective ale aplicației sunt:

crearea unei baze da date privind achitările obligatorii lunare a ratelor eșalonate si a dobânzilor aferente.

Integrarea în aceasta baza da date, a înlesnirilor la plata acordate de

Casele județene de pensii si asigurări Sociale

Casele județene de asigurări Sociale de Sănătate

direcțiile județene de dialog, familie si solidaritate sociala subordonate Min Muncii Solidarității Sociale si Familiei.

Crearea unui sistem vizibil transparent de acordare a punctajului pe fiecare dosar / cerere solicitata.

Urmărirea periodică a respectării obligațiilor lunare, în ceea ce privește achitarea ratelor eșalonate.

Raportarea indicatorilor de performanță (INDICATORI)

Aplicația prezintă neajunsuri referitoare la modul de raportare a informațiilor și numărul mult prea limitat de al posibilităților de raportare.

Situația indicatorilor de performanță nu se poate transmite și raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori și neconcordante între informațiile preluate din aplicația oblig, vector fiscal si decimp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar si în termen);

Rapoartele nu cuprind suficienți indicatori care să ofere informațiile necesare managementului nivelelor 2 și 3 , aceste lucrări fiind realizate manual, prin operațiuni extra-aplicații.

Concluzii și propuneri

Conformitatea sistemului cu reglementările în domeniu

Principalele neajunsuri ale aplicațiilor informatice în relația lor cu reglementările în domeniu se referă la :

transmiterea către utilizatori, în unele cazuri întârziere, a documentațiilor prin care se aduc modificări aplicațiilor ca urmare a celor intervenite în legislația din domeniu,

imposibilitatea cuprinderii în aplicații a tuturor spețelor rezultate în urma particularităților care intervin în cazul unor contribuabili ca urmare a aplicării actelor normative fiscale.

Propuneri :

crearea la nivelul MFP a unui colectiv operativ de lucru din salariați de la nivelul tuturor DGFP județene, a cărui atribuții să fie constatarea acestor anomalii, necorelații și care să propună soluții concrete de rezolvare a lor în termene optime de timp (cât mai reduse).

crearea pe lângă aplicația propriu-zisă a unor aplicații suplimentare prin care să se poată intervenii operativ în cazul constatării unor probleme accidentale.

Evaluarea riscurilor

Corespondența resurse – volum de muncă în compartimentele IT

Puse față în față capacitățile și performanțele tehnicii informatice ( harware-uri, servere, procesoare, subsisteme informatice ,etc.) cu numărul , calificarea și gradul de instruire a personalului din compartimentele IT s-au desprins următoarele concluzii:

personalul IT nu este suficient în raport cu volumul de muncă, datorită :

numărului mare de aplicații ce trebuiesc implementate și care nu este corelat cu capacitatea și performanțele tehnicii

realizarea "manuală" pe lângă rapoartele aplicației indicatori a numeroase rapoarte suplimentare, complementare solicitate atât pentru managementul instituției cât și pentru a fi raportate către MFP

asigurarea funcționării tuturor echipamentelor (servere, stații de lucru, imprimante, echipamente de comunicații) care să nu determine perturbări în funcționarea întregului sistem informatic,

timpul de muncă a personalul IT este supraîncărcat ca urmare a gradului de îmbătrânire a tehnicii (achiziționată în cea mai mare parte în anii 1998-1999 (aspect prezentat în macheta nr.1). În aceste condiții pentru actualizarea aplicațiilor acestea sunt lăsate să ruleze 24 de ore din 24 , chiar și după încheierea programului de lucru a salariaților.

Fluctuația personalului

Principala cauză invocată de personalul specializat în IT la renunțarea la contractul de muncă încheiat cu AFP Oltenița a fost nivelul de salarizare nesatisfăcător în raport cu propriile nevoi și lipsa perspectivei de creștere a lui în conjunctura legislativă respectivă.

Încrederea în IT

Modul în care sunt percepute și agreate aplicațiile informatice de către salariații AFP Oltenița

Puncte slabe

aplicațiile fiind "standard" la nivel de MFP și subunități, iar accesibilitatea limitată acestea nu răspund întotdeauna unor situații excepționale, procedura rezolvării solicitând un anumit timp ;

pentru realizarea unor raportări individualizate se efectuează lucrări de prelucrare a informațiilor din baza de date în afara aplicațiilor, care însă ar putea fi realizate prin direcționarea informațiilor și către anumite locații de stocare accesibile pentru nivelele 2 și 3;

tehnica învechită îngreunează rularea aplicațiilor și de conduce la situații de inoperativitate;

transferul de informații de la o aplicație la alta este uneori perturbat, triggerele nesoluționând unele situații: De exemplu, în completarea machetei nr.2, AFP Oltenița, precizează: "Situația indicatorilor de performanță nu se poate transmite si raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori si neconcordante între informațiile preluate din aplicația oblig, vector fiscal si Decimp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar și în termen).

Puncte tari

interfețe accesibile, care nu presupun ca utilizatorii (operatorii aplicațiilor) să posede cunoștințe de specialitate IT deosebite;

Propuneri

Îmbunătățirea aplicațiilor informatice , mai ales a celor de transfer al datelor;

Atașarea la aplicații a unor "apendice" care să permită personalizarea unor anumite rapoarte la nivelele 2 și 3 de utilitate locală;

Organizarea de pregătiri profesionale a unor salariați specialiști în IT care să constituie nuclee ale nivelului 2 de pregătire a salariaților IT din cadrul nivelelor 3;

Realizarea unor programe naționale de modernizare a tehnicii informatice (servere, terminale , etc. ) pentru a răspunde în condiții normale solicitărilor de sofware și procesare.

Realizarea unui program comun cu DGTI-București de atașare la aplicațiile informatice existente a unor "apendice" care să permită realizarea de rapoarte personalizate pentru nivelele 2 și 3;

Organizarea de pregătiri profesionale a salariaților specialiști în IT cât și a celorlalți utilizatori ai programelor de la nivelul 2 și nivelele3;

Includerea în bugetul instituției a unor sume la capitolul investiții pentru modernizarea dotărilor compartimentelor TI astfel încât acestea să răspundă în condiții normale solicitărilor de software și procesare.

b) Necesități curente comparativ cu funcționalitatea sistemului informatic

Sistemul informatic existent nu acoperă toate necesitățile activităților curente. Sunt activități pentru care MFP-DGTI , fie că nu a proiectat aplicații informatice sau cele existente nu satisfac toate cerințele utilizatorilor :

Colectare

Executare silita persoane juridice și fizice

Contabilitatea creanțelor bugetare

Activitatea de control fiscal

Propuneri

Realizarea unor colective de specialiști IT în care să fie incluși salariați ai tuturor DGFP-urilor județene precum și ai DGTI București care să realizeze în colaborare:

dezvoltarea și actualizarea permanentă a aplicațiilor informatice (corectarea aplicației de transfer a datelor între aplicații, crearea de triggere care să fie cu un grad mai ridicat de eficiență,

realizarea "apendicelor" la aplicații care să fie utilizate în personalizarea acestora prin crearea rapoartelor necesare managementului unităților din nivelele 2 și 3),

realizarea unor aplicații și pentru alte activități de o deosebită importanță in activitatea fiscală (colectare, executare silită a persoanelor juridice și fizice, contabilitatea creanțelor bugetare, activitatea de control fiscal)

Evaluarea hardware și software

Tehnica de calcul existentă la nivelul AFP Oltenița este îmbătrânită și ea nu mai corespunde din punct de vedere al capacităților hard-urilor și al calității procesoarelor nevoilor actuale de prelucrare a informațiilor

Propuneri

se impune realizarea unei analize, respectiv a unui studiu privind starea TI și găsirea de soluții pentru efectuarea de dotări cu tehnică performantă.

se recomandă analizarea creări unui fond de investiție pentru TI prin realizarea unui act normativ care să precizeze destinația unei cote procentuale din încasările efective ale fiecărei DGFP județene în scopul stric al realizării dotărilor cu tehnică de calcul.

realizarea unui program permanent de instruire organizat de DGTI- București cel puțin pentru o parte din personalul IT de la nivelele 2 și 3, și care să aibă în vedere software-urile folosite și limbajele aplicațiilor implementate la aceste nivele..