Finansų ministerijos komentaras dėl Valstybės kontrolės išvadų

Valstybės kontrolė atliko Finansų ministerijos informacinių sistemų bendrosios ir kūrimo kontrolės auditą, kurio metu buvo vertinamas ministerijos informacinių sistemų valdymo lygis 2008-2011 m. ir viešojo sektoriaus apskaitos ir ataskaitų konsolidavimo informacinės sistemos (VSAKIS) kūrimo rezultatai.

Pasak auditorių, „informacinių technologijų strateginis planavimas nepakankamas ir neatspindi ministerijos veiklos poreikių“, o „į 2008-2010 m. informacinių technologijų strategiją neįtrauktas tokių sistemų, kaip FVAIS ir FVIS, kūrimas“.

Visi ministerijoje vykdyti projektai, taip pat ir FVIS bei FVAIS kūrimas, buvo numatyti strateginio planavimo dokumentuose. Auditorių pastebėjimas grindžiamas tik vienu iš strateginio planavimo dokumentų, t. y. informacinių technologijų strategija, todėl auditorių pateikiami pastebėjimai dėl strateginio planavimo nevisai atskleidžia realią situaciją.

Dėl auditorių teiginio: „Nepaisant to, kad 2011 m. ministerijoje jau buvo atliktas informacinių sistemų rizikų vertinimas, įteisinus dvi naujas sistemas (FVAIS ir FVIS) turėjo būti atliktas šių sistemų neeilinis vertinimas.“

Finansų ministerija, kaip ir visos iš valstybės biudžeto išlaikomos įstaigos, turi ribotą finansavimą, todėl visos paslaugos įsigyjamos atsižvelgiant į finansines galimybes. Auditoriai neatsižvelgė į tai, kad FVAIS ir FVIS sistemos veikia toje pačioje technologinėje platformoje kaip ir pirmai kategorijai priskirta VBAMS informacinė sistema, kuriai auditorių minėtas vertinimas buvo atliktas. Dėl to visoms šioms trims sistemoms yra identiška incidentų tikimybė, jų įtaka informacijos saugai ir t. t. Išskiriant šį vertinimą į atskirą užduotį, šis vertinimas ministerijai būtų kainavęs papildomai apie 33 tūkst. Lt. Vykdant teisės aktų reikalavimus ir audito rekomendacijas, lėšos minimų sistemų rizikos vertinimui numatytos 2012 m. ministerijai skirtuose asignavimuose.

Pasak auditorių, „Valstybės iždo finansų valdymo ir apskaitos informacinė sistema (FVIS) turi būti laikoma ne III kategorijos vidaus administracine, o I kategorijos valstybės informacine sistema“.

Teisės aktuose nurodyta, kad I kategorijai priskiriama informacinė sistema, kuri „skirta valstybės piniginiams ištekliams planuoti, kaupti, išduoti, jų apskaitai tvarkyti, naudojimo kontrolei atlikti, rengti atskaitomybę ir stebėti valstybės piniginių išteklių srautus“. Minima FVIS sistema yra skirta tik tvarkyti valstybės piniginių išteklių apskaitą ir rengti atskaitomybę. FVIS paskirtis netenkina reikalavimo, pagal kurį ją būtų galima priskirti I kategorijos informacinėms sistemoms, tačiau Finansų ministerija atsižvelgs į Valstybės kontrolės rekomendacijas ir peržiūrės informacinių sistemų priskyrimą kategorijoms.

Pasak auditorių, „kyla rizika, jog dėl netinkamo klasifikavimo nebus užtikrintos sistemai privalomos saugos priemonės (pvz., I kategorijos sistemų saugos vertinimai turi būti atliekami kasmet, o II ir III – ne rečiau kaip kartą per dvejus metus)“.

Audito metu neatsižvelgta į tai, kad FVIS ir FVAIS sistemos yra sukurtos pakartotinai panaudojant I kategorijai priskirtos VBAMS informacinės sistemos technologinę platformą, jos infrastruktūrą, ir atitinkamai, šioms sistemoms nebegali būti pritaikytos kitokios techninės ir organizacinės saugos priemonės. Šiuo atveju pateikiamas realiais faktais nepagrįstas auditorių spėjimas.

Pasak auditorių, „ministerija turėjo sunkumų vertinant VSAKIS projekto rezultatų sukuriamą vertę, nes dalis jos nustatytų projekto tikslų pasiekimo kriterijų buvo nedetalūs ir nepamatuojami“.

Finansų ministerija su auditorių pastebėta problema nėra susidūrusi ir vertinant projekto tikslų pasiekimą pabaigus VSAKIS bandomąją eksploataciją nustatytų vertinimo kriterijų pakako. VSAKIS projektas šiuo metu yra dar nebaigtas vykdyti (t. y. baigti atskiri projekto etapai). Projekto įvykdymo efektas gali būti įvertintas tik naudojant sukurtus rezultatus.

Auditoriai pastebi, kad „VSAKIS sulaukė ir pačių vartotojų nepasitenkinimo dėl per trumpo bandomosios eksploatacijos laiko, netinkamo mokymų modelio, per daug sudėtingų, didelės apimties vartotojų Vadovų“.

Ministerijos nuomone, teikiant pastebėjimą nebuvo atsižvelgta į šiuos faktus:

1. VSAKIS yra itin didelės apimties ir sudėtinga informacinė sistema. Projekto įgyvendinimo metu buvo vykdoma apskaitos reforma, buvo keičiami ir naujai priimami teisės aktai, viešojo sektoriaus apskaitos ir finansinės atskaitomybės standartai (VSAFAS). Atsižvelgiant į minėtą VSAKIS kūrimo aplinką bei tai, kad nuo 2008 m. pabaigos buvo apriboti finansiniai ištekliai, ypač daug dėmesio ir laiko sąnaudų buvo skiriama projekto terminams valdyti ir kontroliuoti. Finansų ministerija nustatė ir bandomosios eksploatacijos laiką, vadovaujantis LR viešojo sektoriaus atskaitomybės įstatymu (Nr. X-1212), VSAFAS, todėl kitokio bandomosios eksploatacijos laiko nustatyti negalėjo.

2. Atsižvelgusi į potencialių dirbančiųjų su VSAKIS asmenų kiekį (apie 8 000), įvertinusi turimą projekto biudžetą ir siekdama kuo efektyviau panaudoti lėšas bei tinkamai perduoti žinias naudotojams, ministerija pasirinko „Mokytojų mokymo“ metodą. Auditorių įvardinta problema buvo svarstyta 2011 m. gegužės 5 d. Seimo audito komitete, kuris pripažino, kad Finansų ministerijos pasirinktas VSAKIS naudotojų apmokymo metodas yra racionalus ir teisingas, nes apmokyti kiekvieną naudotoją, kai jų yra per 8 tūkst., įvertinant ir darbuotojų kaitos riziką, laiko ir finansines sąnaudas, yra neefektyvu. VSAKIS naudotojams be jau minėtų mokymų buvo teikiamos tikslinės konsultacijos ir organizuojami seminarai (iš viso buvo suteiktos daugiau nei 65 tikslinės konsultacijos ir pravesta daugiau nei 20 seminarų).

3. Apie 95 proc. naudotojų duomenis į VSAKIS tik pateikia ir juos tvirtina. Jiems skirto naudotojų vadovo apimtis vidutiniškai yra apie 150 lapų, 2/3 lapo sudaro VSAKIS ekranvaizdžiai. Siekdama efektyviau perteikti informaciją, Finansų ministerija parengė ir interaktyvią mokymo medžiagą Ministerija naudotojų mokymus organizavo vadovaudamasi geriausia mokymų organizavimo praktika. Kontrolieriai nepateikė nuomonės, koks bandomosios eksploatacijos laikas tokios apimties projektuose yra optimalus, kokiais metodais vadovaujantis turėtų būti nustatoma tinkama bandomosios eksploatacijos trukmė.

Finansų ministerija sutinka, kad informacinių technologijų valdymo procesai ir valdomų informacinių sistemų administravimas yra tobulintini, tačiau mano, kad vertinant atliktus darbus ir reikalavimų įgyvendinimo galimybes turėtų būti atsižvelgiama į visas aplinkybes: šalies finansinės situacijos įtaką, projektų apimtį ir unikalumą, jų atitiktį šiuolaikinėms IT tendencijoms. Visos Valstybės kontrolės pranešime minėtos sistemos yra sukurtos, įdiegtos ir veikia. Nustatant saugos reikalavimus informacinėms sistemoms, turėtų būti įvertinamas nustatomų reikalavimų pagrįstumas, atliekamas jų įgyvendinimo kainos ir naudos santykio vertinimas, nes tik tada nebūtų taikomi nepagrįstai brangūs sprendimai veiklos poreikiais nepagrįstiems reikalavimams įgyvendinti.

Šaltinis: Finansų ministerija