Raport de Audit - Audit de Sistem Informatic 01

SUPERVIZAT
CONSILIER DE
CURTEA DE CONTURI A ROMÂNIEI
CONTURI, Prof. univ. dr.
Sec ia de Control Financiar Ulterior tefan POPA
AVIZAT,
Divizia I Controlul contului general de execu ie a bugetului de Director
stat, datoriei publice, garan iilor guvernamentale i a crean elor
statului; auditul performan ei i al sistemelor informatice
Ec. dr. Ani oara Fr il
Sistemul care func ioneaz în cadrul Sistemului
Electronic Electronic Na ional i care constituie
Na ional s obiectul misiunii de audit, furnizeaz
a desf urat servicii electronice online în domeniul
în baza achizi iilor publice, prin intermediul
Programulu portalului www.e licitatie.ro, asigurând,
i de control totodat , transparen a în îndeplinirea
financiar i obiectivelor specifice i prevenirea corup
audit pe iei prin mijloace electronice.
RAPORT DE anul 2007,
aprobat de Acest serviciu electronic implementeaz o
AUDIT Plenul Cur pia virtual care ofer un cadru sigur i
ii de eficient prin intermediul c ruia ofertan ii i
Auditul Sistemului Conturi a cump r torii se pot întâlni, negocia i
elicitatie României efectua tranzac ii comerciale pentru
prin Hot achizi ii publice de bunuri.
rârea nr. 79
din 20 Divizia I, Direc ia 3 Auditul performan
decembrie ei i al sistemelor informatice a efectuat,
Misiunea de audit având 2006. în perioada 1 ianuarie 2007 – 25
ca tem Auditul noiembrie 2007, Auditul Sistemului e
Sistemului elicita ie Sistemul e
licita ie, care func ioneaz în cadrul
implementat în licita ie
Sistemului Electronic Na ional.
2
Capitolul 1. Introducere
Dezvoltarea portalului e guvernare în cadrul Sistemului Electronic National
(SEN), conceput ca unic punct de acces la serviciile i informa iile institu iilor
administra iei centrale i locale, a oferit suportul pentru lansarea i extinderea livr rii
de servicii electronice c tre administra ie, mediul de afaceri i cet eni. Prin acest
program de anvergur , Guvernul României î i propune s promoveze transparen a, s
creasc eficien a în administra ie prin reducerea costurilor i a birocra iei, s asigure
accesibilitatea larg la informa iile i serviciile publice, indiferent de timp i de loc, s
previn i s combat corup ia prin mijloace electronice.
Prin Legea nr. 161/2003, Inspectoratul General pentru Comunica ii si
Tehnologia Informa iei (IGCTI) a fost stabilit ca operator la nivel na ional al
proiectelor de guvernare electronic , respectiv al portalurilor asociate, www.e
guvernare.ro, www.elicitatie.ro i www.autorizatiiauto.ro.
Prin Ordonan a de urgen nr. 73/2007, atribu iile specifice în domeniul oper rii la
nivel na ional a sistemelor informatice ale administra iei publice centrale, care
furnizeaz servicii publice destinate guvern rii prin mijloace electronice, se preiau
de c tre Ministerul Comunica iilor i Tehnologiei Informa iei i se exercit prin Agen
ia pentru Serviciile Societ ii Informa ionale (ASSI), care se înfiin eaz ca institu ie
public cu personalitate juridic în subordinea Ministerului Comunica iilor i
Tehnologiei Informa iei.
În ceea ce prive te obiectul de activitate, ASSI are ca atribu ii principale:
dezvoltarea i operarea pentru urm toarele sisteme:
Sistemul eguvernare,
Sistemul electronic de achizi ii publice, precum i
Sistemul informatic pentru atribuirea electronic a autoriza iilor de transport
interna ional rutier de marf i pentru atribuirea electronic a traseelor na ionale din
programele de transport prin serviciile regulate jude ene, interjude ene limitrofe i
interjude ene.
reglementarea activit ilor specifice furniz rii serviciilor de guvernare prin mijloace
electronice, în condi iile legii;
implementarea, coordonarea i operarea la nivel na ional pentru sisteme informatice
i de comunica ii proprii, în scopul furnizarii serviciilor destinate guvernarii prin
mijloace electronice;
formularea unor propuneri de acte normative pentru îmbun t irea cadrului legislativ
în domeniul furnizarii de servicii publice prin mijloace electronice i al serviciilor
societ ii informationale;
3
f) alte atribu ii care sus in asigurarea continuit ii furniz rii serviciilor, implementarii
i operarii sistemelor informatice ale administra iei publice, destinate guvernarii
prin mijloace electronice.
Implementarea
serviciului
electronic elicitatie sa realizat în
conformitate
cu Ordonan a
Guvernului
num rul 20/ 2002 privind achizi iile
publice prin
licita ii electronice.
Incepând cu anul 2007, func ioneaz o versiune nou de sistem, impus de
modificarea cadrului legislativ prin intrarea în vigoare a urm toarelor acte
normative:
Ordonan a nr. 34/2006 privind atribuirea contractelor de achizi ie public , a contractelor de
concesiune de lucr ri publice i a contractelor de concesiune de servicii.
Legea nr. 337/2006 pentru aprobarea Ordonan ei de urgen a Guvernului nr. 34/2006 privind
atribuirea contractelor de achizi ie public , a contractelor de concesiune de lucr ri publice i a
contractelor de concesiune de servicii.
Hot rârea Guvernului nr. 925/2006 privind aprobarea normelor de aplicare a prevederilor
referitoare la atribuirea contractelor de achizi ie public din Ordonan a de urgen a Guvernului nr.
34/2006 privind atribuirea contractelor de achizi ie public , a contractelor de concesiune de lucr
ri publice i a contractelor de concesiune de servicii
Misiunea de audit care face obiectul prezentului raport a avut în vedere o
problematic vast , generat de implementarea noilor tehnologii i de efectele
antrenate de acestea:
îmbun t irea calit ii serviciilor publice;
cre terea eficien ei serviciilor publice prin reducerea costurilor i a birocra iei;
promovarea transparen ei;
adaptarea serviciilor publice pentru a r spunde cerin elor pie ei;
informarea prin mijloace electronice cu privire la legisla ia i reglement rile aferente
Sistemului elicita ie, prin informa ii proprii portalului sau prin trimiterea la alte
surse electronice de informare;
informarea prin intermediul portalului specializat www.elicitatie.ro i
asistarea utilizatorilor cu privire la formularele online aferente Sistemului elicita
ie, precum i a modalit ilor de completare a acestora;
asigurarea accesibilit ii la informa iile furnizate de Sistemul elicita ie, indiferent
de timp i de loc (sistemul permite accesarea acestor informa ii i în afara
programului de lucru al personalului de specialitate);
perfec ionarea utiliz rii tehnologiilor web în scopul furniz rii de informa ii de
calitate, care contribuie la reducerea costurilor administrative i sociale;
reducerea costurilor administrative i sociale în domeniul achizi iilor publice, prin
dezvoltarea unui sistem modern i eficient, disponibil pentru toate institu iile
publice i mediul de afaceri.
4
Misiunea de audit care face obiectul prezentului Raport sa desf urat în
conformitate cu Ghidul Auditului Performan ei elaborat de Curtea de Conturi a
României, pe lâng acesta fiind luate în considerare i cerin ele standardelor interna
ionale de audit acceptate (INTOSAI – International Organization of Supreme
Audit Institutions), standardele interna ionale de audit al sistemelor informatice
(COBIT – Control Objectives for Information and related Technology), precum i
ale ghidurilor de bun practic elaborate de ISACA (Information Systems Audit and
Control Association).
De asemenea, sa inut seama i de raportul, orientat pe bune practici în domeniu,
EProcurement and its effect on future audit approach, elaborat de EUROSAI IT
Working Group în martie 2004.
Formatul raportului de audit este cel recomandat în Ghidul Auditului Performan ei
al Cur ii de Conturi a României. Raportul identific organiza ia, aria de cuprindere,
obiectivele, perioada acoperit i natura, planificarea în timp i aria de acoperire ale
activit ii de auditare efectuate. Raportul declar constat rile, concluziile i recomand
rile, precum i orice rezerve, calific ri sau limit ri ale perspectivei pe care auditorul
de sisteme informatice le are în leg tur cu auditarea în cauz .
Capitolul 2. Obiectivele i necesitatea auditului
Auditarea serviciilor electronice existente în cadrul Sistemului Electronic Na ional
se desf oar în contextul tendin ei de extindere i generalizare a acestui tip de servicii
pe plan interna ional, proces care viyeay asigurarea unor servicii electronice de
calitate pentru cet eni, administra ie i mediul de afaceri, precum i în contextul
asigur rii compatibilit ii cu administra iile europene.
Obiectivul general al auditului
Evaluarea stadiului de dezvoltare, implementare i utilizare a infrastructurilor i
instrumentelor specifice tehnologiei informa iei i comunica iilor în cadrul
Sistemului e licita ie, pentru furnizarea de servicii electronice în domeniul
achizi iilor publice, pentru institu ii publice i mediul de afaceri. Formularea de
recomand ri în scopul acceler rii extinderii acestui serviciu electronic.
Obiective specifice ale auditului
Evaluarea portalului asociat Sistemului elicita ie (www.elicitatie.ro);
Evaluarea solu iilor arhitecturale i de implementare;
5
Evaluarea securit ii sistemului i a informa iilor;
Evaluarea managementului continuit ii sistemului i al dezvolt rii;
Evaluarea disponibilit ii i accesibilit ii informa iilor;
Conformitatea cu legisla ia;
Analiza riscurilor;
Evaluare stadiului i a calit ii instruirii personalului i a asist rii utilizatorilor;
Comunicarea între institu iile de profil i cu utilizatorii;
Evaluarea impactului social al utiliz rii serviciului electronic elicita ie;
Conformitatea cu cele mai bune practici în domeniu;
Efectele în planul moderniz rii serviciilor din administra ia public ;
Necesitatea efectu rii auditului are ca motiva ie determinarea gradului de utilizare
a tehnologiei informa iei i comunica iilor (TIC) în furnizarea de servicii electronice
c tre persoane fizice i juridice, în particular pentru Sistemul electronic elicita ie,
având în vedere atât extinderea semnificativ a utiliz rii acestui serviciu în România,
cât i participarea la schimbul european de informa ii în format electronic, în
domeniul achizi iilor publice.
Sistemul elicita ie este utilizat în prezent pe scar larg de peste 8500 de autorit i
contractante i 9000 de ofertan i, num rul de produse de catalog publicate în sistem
dep ind 23265.
Prin utilizarea Sistemului elicita ie, institu iile publice i companiile prívate din
România au posibilitatea procur rii de bunuri i servicii prin mijloace electronice la
costuri de achizi ie sc zute. De asemenea, sistemul furnizeaz , în timp real, atât
informa ii calitative cât i indicatori aferen i dinamicii acestei activit i, prin
includerea unor facilit i avansate de raportare.
Capitolul 3. Desf urarea auditului
3.1 Planificarea auditului
Elaborarea programului de audit a avut la baz detalierea obiectivelor abordate în
cadrul misiunii de audit, în func ie de pozi ia i rolul actorilor implica i în cadrul
sistemului auditat.
Entit i auditate. Misiunea de audit având ca tem Auditul Sistemului elicita ie
disponibil în Sistemul Electronic Na ional (SEN) sa desf urat la
Agen ia pentru Serviciile Societ ii Informa ionale (ASSI), care are ca atribu ie
dezvoltarea i operarea Sistemului electronic de achizi ii publice, elicita ie.
6
Abordarea auditului. Abordarea general a auditului s a bazat pe evaluarea
riscurilor. Auditul sa efectuat pentru întreg ciclul de via al sistemului.
Efectuarea auditului sa desf urat pe baza programului de audit care a constat în
detalierea subiectelor care urmau s fie tratate pe parcursul misiunii de audit i sa
concretizat în urm toarele programe de lucru:
Program de lucru privind evaluarea controalelor generale IT Program de lucru
privind evaluarea riscurilor IT
Program de lucru privind evaluarea siteului web i testarea controalelor IT
specifice Sistemului elicita ie, prin interviuri realizate pe baza listei de verificare
LV_Controale_IT_Web i demonstrarea i testarea aplica iei func ionale pe portalul
www.elicitatie.ro
Program de lucru privind evaluarea riscurilor specifice sistemelor de management
al documentelor electronice, prin interviuri realizate pe baza listei de verificare
LV_Riscuri_IT_ Web
Program de lucru pentru evaluarea perimetrului de securitate.
Aprobarea programului de audit. Programul de audit a fost aprobat la nivelul
Diviziei I – Controlul contului general de execu ie a bugetului de stat, datoriei
publice, garan iilor guvernamentale i a crean elor statului; auditul performan ei i
al sistemelor informatice , precum i la nivelul Sec iei de Control Financiar
Ulterior din cadrul Cur ii de Conturi a României.
Evaluarea riscurilor. Misiunea de audit a avut ca scop ob inerea unei asigur ri
rezonabile asupra implement rii i func ion rii Sistemului elicita ie, în conformitate
cu prevederile legisla iei în vigoare (referitoare la SEN i la achizi iile publice), cu
reglement rile în domeniu i cu standardele specifice de securitate, precum i
evaluarea sistemului prin prisma performan ei privind modernizarea serviciilor
publice.
Riscurile detectate pe parcursul misiunii de audit se refer la dou categorii de
probleme:
a) Riscuri privind planificarea, dezvoltarea i introducerea serviciilor electronice
Exemple de astfel de riscuri avute în vedere: lipsa unei planific ri strategice,
coordonarea i managementul calit ii neadecvate; insatisfac ia utilizatorilor;
ignorarea explor rii profilului utilizatorilor; neglijarea aspectelor legate de
asigurarea calit ii; lipsa unor evalu ri privind eficacitatea costurilor; neîndeplinirea
atribu iilor privind crearea cadrului necesar legal i organiza ional; implicarea
sporadic i inconsecvent în elaborarea i implementarea reglement rilor i
standardelor IT i de securitate; furnizarea neadecvat a infrastructurii tehnice;
dependen a de companiile IT; lipsa reglement rii drepturilor privind re eaua
Internet; lipsa unor evalu ri ale proiectelor raportate la evolu iile tehnologiilor
informa iei i comunica iilor.
7
b) Riscuri în func ionarea serviciilor electronice
Exemple de astfel de riscuri avute în vedere: politici de securitate IT tehnic i
organiza ional neadecvate care afecteaz integritatea, autenticitatea, confiden
ialitatea i disponibilitatea informa iilor, securizarea transferului de date,
capabilitatea informa iilor de a fi auditate, securitatea tranzac iilor; redundan ,
discontinuit i media i interoperabilitate neadecvat .
Evaluarea riscurilor a avut în vedere verificarea urm toarele categorii de controale
generale:
utilizarea sistemului IT se realizeaz în cadrul unei structuri clar definite,
conducerea la cel mai înalt nivel este informat despre activitatea IT i este receptiv
la schimbare, gestionarea resurselor umane se face eficient, monitorizarea cadrului
legislativ i a contractelor cu principalii furnizori se desf oar corespunz tor, are loc
revizuirea func ionalit ii, oper rii i dezvolt rilor de componente, astfel încât acestea
s fie în concordan cu necesit ile activit ii entit ii i s nu expun entitatea la riscuri
nejustificate;
accesul neautorizat la datele sau programele critice este prevenit i controlat, mediul
în care opereaz sistemele este sigur din punct de vedere al confiden ialit ii, integrit
ii i credibilit ii;
aplica iile sunt disponibile atunci când este nevoie, func ioneaz conform cerin elor,
sunt fiabile i au implementate controale sigure asupra integrit ii datelor;
sunt luate m surile necesare pentru diminuarea riscului deterior rii (accidentale sau
deliberate) sau a furtului echipamentelor IT, se ac ioneaz corespunz tor pentru
reducerea probabilit ii apari iei unor defec iuni majore i sunt stabilite m surile
necesare pentru ca, în cazul indisponibiliz rii facilit ilor de procesare, entitatea s î i
reia în mod eficient activitatea, întro perioad de timp rezonabil ;
sistemul este conform cu reglement rile legale în vigoare.
Documente de lucru. Au fost utilizate chestionare i liste de verificare elaborate la
nivelul Diviziei I – Direc ia 3 Auditul performan ei i al sistemelor informatice.
Tehnici de audit. Tehnicile de audit utilizate în cadrul misiunii au inclus:
Realizarea de interviuri cu persoane cheie implicate în proiect; Utilizarea
chestionarelor / machetelor;
Examinarea unor documenta ii tehnice, economice de monitorizare i de raportare:
grafice de implementare, coresponden , rapoarte interne, situa ii de raportare,
rapoarte de stadiu al proiectului, registre de eviden / monitorizare a utiliz rii
serviciului electronic elicita ie, contracte, sinteze statistice, metodologii,
standarde;
Inspec ie în spa iile din sediul ASSI în care func ioneaz Sistemul elicita ie;
8
Participarea la demonstra ii i simularea în mediu de test i în condi ii reale a
procedurilor aferente utiliz rii Sistemului eliciatie func ional pe portalul www.e
licitatie.ro;
Consultarea unor documenta ii tehnice; Examinarea siteului web al institu iei.
Efectuarea auditului
Divizia I, Direc ia 3 Auditul performan ei i al sistemelor informatice a efectuat
auditul la nivelul ASSI. Auditul a avut în vedere evaluarea sistemului din punctul
de vedere al gestion rii resurselor informatice disponibile (date, aplica ii,
tehnologii, facilit i, resurse umane, etc.), în scopul atingerii obiectivelor, prin
asigurarea eficien ei, confiden ialit ii, integrit ii, disponibilit ii, siguran ei în func
ionare i conformit ii cu un cadru comun de referin (standarde, bune practici, cadru
legislativ, etc.).
Au fost desf urate interviuri cu urm toarele persoane implicate în proiect:
Gruia Daniel – Pre edinte ASSI
Marcu Ion – ef departament Servicii eguvernare
Dumitru Pompilic – ef departament Achizi ii Publice Electronice Lovin Eduard
Lucian – Director Direc ia eguvernare
Simion Silviana – ef serviciu Suport Autorit i Contractante
Fodor Oana – ef serviciu Suport Companii
D nescu Petru ef serviciu Autoritate de Certificare
Calot tefan – Administrator baz de date
Au fost efectuate teste de control i teste de detaliu, prin examinarea siteurilor web,
a documenta iilor tehnice i prin evaluarea mediului IT.
Sa efectuat o evaluare a riscurilor IT în ceea ce prive te: dependen a de IT,
resursele i cuno tin ele IT, încrederea în IT, schimb rile în IT, externalizarea
serviciilor IT, focalizarea pe activitate, securitatea informa iei.
De asemenea, s au verificat controalele IT referitoare la: managementul IT,
securitatea fizic i controalele de mediu, securitatea informa iei i a sistemelor,
continuitatea sistemelor, managementul schimb rii i dezvoltarea de sistem, auditul
intern.
Probele de audit au fost ob inute utilizând tehnicile de audit men ionate în Sec
iunea 3.1 Planificarea auditului.
Analiza i interpretarea rezultatelor
In cadrul misiunii de audit s a f cut o evaluare general , din perspectiv
multidimensional a cadrului de func ionare a Sistemului elicita ie din cadrul SEN,
care sa fundamentat în special pe evaluarea Sistemului elicita ie, i pe
9
analiza, interpretarea i sinteza informa iilor ob inute în cadrul interviurilor sau
colectate prin intermediul chestionarelor i listelor de verificare.
Elaborarea Raportului de audit
Raportul de audit elaborat de Curtea de Conturi a României include cele mai
semnificative aspecte care au rezultat în cadrul misiunii de audit cu privire la
stadiul i evolu ia implement rii i utiliz rii sistemului electronic de achizi ii publice
(SEAP), func ional pe portalul www.elicitatie.ro, i con ine constat ri, concluzii i
recomand ri referitoare la abordarea problematicii acestui domeniu la nivelul
ASSI, prin prisma obiectivelor specifice expuse în Capitolul 2.
Capitolul 4. Sistemului elicita ie. Cadru de implementare i func
ionare
Potrivit defini iei formulate în Ordonan a de urgen nr. 34/2006 privind atribuirea
contractelor de achizi ie public , a contractelor de concesiune de lucr ri publice i a
contractelor de concesiune de servicii, Sistemul electronic de achizi ii publice –
SEAP desemneaz sistemul informatic de utilitate public , accesibil prin Internet la
o adres dedicat , utilizat în scopul aplic rii, prin mijloace electronice, a procedurilor
de atribuire.
Operatorul SEAP (al sistemului electronic de achizi ii publice) este Agen ia pentru
Serviciile Societ ii Informa ionale (ASSI). In conformitate cu prevederile
Ordonan ei de urgen nr. 34/2006, aceast institu ie asigur autorit ilor contractante
suportul tehnic destinat aplic rii, prin mijloace electronice, a procedurilor de
atribuire. Prin aceea i hot râre, Guvernul poate stabili o procedura specific de
acordare a dreptului de a deveni operator al unui astfel de sistem i altor persoane
juridice.
Operatorul SEAP are obliga ia de a pune la dispozi ia Autorit ii Na ionale pentru
Reglementarea i Monitorizarea Achizi iilor Publice (ANRMAP), rapoartele în
format electronic, elaborate pe baza datelor disponibile în SEAP, în scopul asigur
rii informa iilor necesare cre rii de baze de date statistice.
Sistemul elicita ie lansat în luna martie 2002 a avut ca suport proiectul pilot ini iat
de Ministerul Comunica iilor i Tehnologiei Informa iei în anul 2001.
Arhitectura Sistemului Electronic de Achizi ii Publice (SEAP), conceput de c tre
Inspectoratul General pentru Comunica ii i Tehnologia Informa iei (IGCTI), a fost
dezvoltat de un consor iu format din companii române ti:
UTI – securitate, certificat digital, layer de securitate, securitatea comunica iei
TotalSoft dezvoltarea aplica iilor
10
Microsoft – software de baz
HP echipamente.
Luând în considerare modific rile implicate la nivelul sectorului public i al celui
privat, determinate de factori cum ar fi schimb rile la nivelul strategiei
guvernamentale/administra iei publice, al resurselor umane, financiare i
tehnologice, Sistemul elicita ie a cunoscut o dezvoltare gradual .
La sfâr itul anului 2002, sistemul cuprindea un num r de 159 autorit i contractante,
95 de companii private i 7 categorii de produse. Tipul i num rul autorit ilor
contractante i al produselor tranzac ionate prin intermediul sistemului elicita ie au
crescut progresiv i a oferit utilizatorilor posibilitatea înv rii func ionalit ii
sistemului, a test rii solu iilor tehnice alese i adapt rii acestora reglement rilor
legale i cerin elor utilizatorilor.
In cadrul Conferin ei eGovernment "Transforming Public Services" care a avut loc
la Manchester în luna noiembrie 2005, a fost aprobat o declara ie ministerial care,
fixeaz repere i obiective, inclusiv pentru serviciile de achizi ii electronice.
In perioada 20062010 Statele Membre î i vor concentra eforturile pe crearea
condi iilor optime privind livrarea serviciilor electronice cu un impact mare
asupra utilizatorilor, astfel încât, în anul 2010, cel pu in 50% dintre serviciile care
privesc achizi iile publice s se desf oare prin procedur electronic .
Men ion m c , la sfâr itul anului 2005, în România ponderea în total a achizi iilor
publice derulate prin procedur electronic a fost estimat la 57 %.
Constatare: In prezent, totalul achizi iilor publice nu poate fi calculat în timp
real, cu exactitate, din cauza coexisten ei celor dou tipuri de proceduri pentru
achizi ii publice: procedura elecronic i procedura manual . Lipsa unei intr ri unice a
informa iilor provenind din cele dou surse, privind achizi iile publice, induce erori
de sincronizare i corelare a informa iilor respective. Din acest motiv, pe siteul
www.anrmap.ro sunt afi ate numai rapoarte privind volumul estimat al achizi iilor
publice.
Recomandare: Dezvoltarea unui mecanism de preluare continu a unor informa ii
sintetice din sistemul manual i corelarea acestora cu informa iile din SEAP, în
scopul elabor rii unor situa ii de raportare operative coerente, complete i corecte.
În anul 2006, Inspectoratul General pentru Comunica ii i Tehnologia Informa iei a
implementat o nou versiune a Sistemului elicita ie, care respect prevederile legale
na ionale în domeniul achizi iilor publice, armonizate cu reglement rile legale ale
UE (Directivele 2004/17/EC i 2004/18/EC).
Versiunea extins a Sistemului elicita ie lansat în luna octombrie 2006 ofer noi
facilit i tehnice:
publicarea anun urilor de inten ie, de participare i de atribuire, a invita iilor de
participare, precum i a documenta iilor de atribuire;
11
publicarea celorlalte tipuri de anun uri: anun uri de inten ie utilit i, anun de
participare utilit i, anun uri de atribuire utilit i, anun de participare pentru concursul
de solu ii, rezultatul concursului de solu ii, anun uri de concesionare;
aplicarea integral prin mijloace electronice a procedurii de cerere de ofert utilizând
criteriul de atribuire "pre ul cel mai sc zut" i "oferta cea mai avantajoas din punct
de vedere economic";
posibilitatea utiliz rii licita iei electronice ca faz final a unei proceduri de atribuire
desf urate offline sau a unei proceduri de cerere de ofert online având criteriul de
atribuire "pre ul cel mai sc zut";
posibilitatea de a achizi iona direct, prin intermediul unui catalog electronic,
produse sau servicii.
Ordonan a de urgen nr. 34/2006 privind atribuirea contractelor de achizi ie public
, a contractelor de concesiune de lucr ri publice i a contractelor de concesiune de
servicii, prevede obliga ia operatorului SEAP de a asigura pentru Autoritatea Na
ional pentru Reglementarea i Monitorizarea Achizi iilor Publice (ANRMAP)
accesul nerestric ionat la anun urile transmise de c tre autorit ile contractante,
înainte de publicarea acestora.
Autoritatea Na ional pentru Reglementarea i Monitorizarea Achizi iilor Publice
verific fiecare anun transmis de c tre autorit ile contractante pentru publicare în
SEAP, în m sura în care anun ul respectiv este în legatur cu aplicarea procedurii de
atribuire a unui contract cu o valoare estimat mai mare decât pragurile valorice
prevazute de lege. În termen de 2 zile lucr toare de la data primirii anun ului în
SEAP, Autoritatea Na ional pentru Reglementarea i Monitorizarea Achizi iilor
Publice are obliga ia:
fie, s emit c tre operatorul SEAP acceptul de publicare pentru anun ul respectiv, în
cazul în care în urma verific rii nu se constat erori/omisiuni de completare;
fie, s resping publicarea anun ului, în cazul în care se constat erori/omisiuni de
completare, informand totodat autoritatea contractant asupra acestei decizii precum
i asupra modului în care erorile/omisiunile pot fi remediate.
Dup publicarea anun ului în SEAP, autoritatea contractant are obliga ia de a
transmite anun ul i c tre Regia Autonom Monitorul Oficial al României, spre
publicare în Partea a VIa, Achizi ii publice.
La aceste facilit i se adaug transmiterea în format electronic a anun urilor autorit
ilor contractante c tre Oficiul pentru Publica iile Oficiale ale Comunit ilor
Europene, în vederea public rii acestora în Jurnalul Oficial al Uniunii Europene
(JOUE). Dobândirea calit ii de OJS eSender a permis operatorului SEAP s
faciliteze autorit ilor contractante publicarea anun urilor în JOUE exclusiv prin
mijloace electronice.
12
Operatorul SEAP nu are dreptul de a publica anun ul transmis de autoritatea
contractant sau de al transmite spre publicare în Jurnalul Oficial al Uniunii
Europene, f r ob inerea acceptului de publicare emis de c tre Autoritatea Na ional
pentru Reglementarea i Monitorizarea Achizi iilor Publice.
În cazul în care, din motive de natur tehnic independente de operatorul SEAP, nu
este posibil transmiterea anun urilor, în format electronic, spre publicare în Jurnalul
Oficial al Uniunii Europene, obliga ia de transmitere a acestora revine Autorit ii Na
ionale pentru Reglementarea i Monitorizarea Achizi iilor Publice.
În perioada urm toare este prev zut implementarea de facilit i tehnice ce vor
permite aplicarea, integral prin mijloace electronice, a procedurilor de licita ie
deschis i licita ie restrâns , concesiuni i sistemul de achizi ie dinamic.
Portalul www.elicitate.ro pune la dispozi ia cet enilor informa ii cu privire la
legisla ia i reglement rile aferente interac iunii dintre ace tia i administra ia public ,
asigur un punct unic de acces la informa iile privind achizi iile publice, furnizeaz
instruc iuni de completare a documentelor online i ofer suportul electronic pentru
completarea asistat a acestora.
Documentele completate online privind achizi iile publice pot fi semnate electronic
conform legisla iei în vigoare i trimise prin mijloace electronice.
Portalul www.elicitate.ro permite utilizare bidirec ional (servicii online),
respectiv permite completarea online a formularelor i asigurarea întregului circuit
al documentului f r a mai fi nevoie de deplasare sau de utilizarea mijloacelor
clasice de transmitere a documentelor.
In cadrul portalului www.elicitatie.ro care constituie punctul unic de acces la
serviciul electronic de achizi ii publice este asigurat siguran a informa iilor i a
tranzac iilor.
Garantarea identit ii utilizatorului i protejarea informa iilor confiden iale transmise
pe Internet se realizeaz prin utilizarea certificatelor digitale. Certificatul digital
autentific identitatea celui care îl folose te, con inând informa ii despre proprietar
(de exemplu, numele, adresa de email), data la care certificatul a fost emis,
numele autorit ii de certificare i cheia public (Public Key Infrastructure PKI)
pentru criptarea i decriptarea informa iei.
Prin semnarea documentelor se realizeaz criptarea informa iei cu cheia privat a
celui care semneaz . Semnarea electronic a documentelor are suport legal.
Certificatele digitale sunt eliberate de c tre Agen ia pentru Serviciile Societ ii
Informa ionale, (fost Inspectoratul General pentru Comunica ii i Tehnologia
Informa iei (IGCTI).
13
Capitolul 5. Evaluarea serviciului electronic elicita ie în contextul
evolu iei c tre eguvernare
Auditarea Sistemului elicita ie a fost desf urat din perspectiva progreselor c tre e
guvernare în România, marcate de o serie de ac iuni absolut necesare întrun astfel
de proces.
5.1 Cadru institu ional i legislativ
La nivel guvernamental au fost întreprinse o serie de ac iuni cu caracter strategic,
sus inute de legisla ie:
înfiin area grupului de lucru Grupul de Promovare a Tehnologiei Informa iei în
România (HG nr. 271/2001), care are ca obiectiv principal crearea de premise
durabile pentru implementarea societ ii informa ionale în România;
elaborarea i aprobarea Strategiei Guvernului privind informatizarea administra
iei publice (HG nr. 1.007/2001);
aprobarea Strategiei na ionale pentru promovarea noii economii i implementarea
societ ii informa ionale (HG nr. 1440/2002) în care se subliniaz faptul c "trecerea
la Societatea Informa ional este unul din obiectivele strategice ale Guvernului
României pentru perioada 2001 – 2004 i una dintre condi iile de preaderare la
Uniunea European ".
înfiin area Sistemului Electronic Na ional (SEN), ca sistem informatic de utilitate
public , în scopul asigur rii accesului la informa ii publice i furniz rii de servicii
publice c tre persoane fizice i juridice (Titlul II din Legea 161/2003, privind
transparen a în administrarea informa iilor i serviciilor publice prin mijloace
electronice). In aceea i lege, a fost stabilit operatorul pentru eguvernare
(Inspectoratul General pentru Comunica ii i Tehnologia Informa iei – IGCTI – aflat
în momentul apari iei legii în subordinea Ministerului Comunica iilor i Tehnologiei
Informa iei, i în prezent în subordinea Primului Ministru)
În perioada 20012005, Ministerul Comunica iilor i Tehnologiei Informa iei, organ
de specialitate al administra iei publice centrale în domeniul comunica iilor i
tehnologiei informa iei, avînd scopul de a realiza politica Guvernului României în
acest domeniu, a elaborat o serie de strategii i programe, precum:
Strategia Guvernului României de stimulare i sus inere a dezvolt rii sectorului de
comunica ii în perioada 20022012;
Economia bazat pe cunoa tere;
Strategia Guvernului României pentru dezvoltarea sectorului tehnologiei informa
iei;
14
Strategia de Dezvoltare Durabil a României ORIZONT – 2025; Strategia Na ional
de Export.
De asemenea, cadrul legislativ a fost extins cu o serie de acte normative privind:
semn tura electronic , achizi iile publice prin licita ii electronice, încasarea prin
mijloace electronice a impozitelor i taxelor locale, comer ul electronic, atribuirea
electronic i distribuirea autoriza iilor de transport rutier interna ional de marf ,
procedura de avizare a instrumentelor de plat cu acces la distan (de tipul aplica
iilor Internetbanking, homebanking sau mobilebanking), m surile pentru
realizarea schimbului de informa ii în domeniul standardelor i reglement rilor
tehnice între România i statele membre UE i Comisia European , protec ia
persoanelor cu privire la prelucrarea datelor cu caracter personal.
Ministerul Comunica iilor i Tehnologiei Informa iei, ca organ de specialitate al
administra iei publice centrale exercit rolul de a realiza politica Guvernului în
domeniul comunica iilor electronice, serviciilor po tale, tehnologiei informa iei i al
serviciilor societ ii informa ionale, principala func ie a acestuia fiind aceea de
defini obiectivele strategice i tactice în domeniile men ionate, asigurând
planificarea, elaborarea i implementarea politicilor, precum i monitorizarea,
evaluarea i controlul realiz rii acestor politici.
Cadrul institu ional de aplicare a Strategiei Guvernului privind Sistemul Electronic
Na ional include toate institu iile administra iei publice. Toate administra iile care
activeaz în spatele ghi eului (back office ), i care de in arhive cu informa ii
necesare atât serviciilor proprii cât i altor unit i ale administra iei publice, vor
permite accesul gratuit i permanent la propriile servicii, al tuturor unit ilor
administrative care activeaz ca interfa (frontoffice).
In ceea ce prive te contextul institu ional în care se plaseaz Sistemul elicita ie, în
ultimii trei ani se constat o dinamic ridicat a modific rilor legislative, care au
implicat reorganiz ri ale IGCTI, prin schimbarea subordon rii acestei institu ii sau
prin reorganizarea de fond care are loc în prezent, ca urmare a înfiin rii Agen iei
pentru Serviciile Societ ii Informa ionale, institu ie care a preluat componenta e
guvernare din SEN. Prezent m în continuare aceste acte normative intrate în
vigoare în perioada noiembrie 2004 – noiembrie 2007:
Legea nr. 510 din 17 noiembrie 2004 privind reorganizarea Inspectoratului General pentru Comunica ii i
Tehnologia Informa iei
Hotararea de Guvern nr. 348/2005 privind organizarea i func ionarea Inspectoratului General pentru
Comunica ii i Tehnologia Informa iei (IGCTI)
Ordonan a de Urgen a Guvernului nr. 134/2006 privind înfiin area Autorit ii Na ionale pentru
Reglementare în Comunica ii i Tehnologia Informa iei (ANRCTI)
Hot rârea Guvernului nr. 415/2007 privind aprobarea Regulamentului de organizare i func ionare a
Autorit ii Na ionale pentru Reglementare în Comunica ii i Tehnologia Informa iei (ANRCTI)
15
Ordonan a de Urgen a Guvernului nr. 25/2007 privind stabilirea unor m suri pentru reorganizarea
aparatului de lucru al Guvernului, cu modific rile complet rile ulterioare.
Ordonan a de Urgen a Guvernului nr. 73/2007 privind organizarea i func ionarea Agen iei pentru
Serviciile Societ ii Informa ionale
In ceea ce prive te legisla ia privind achizi iile publice, în perioada 2006 – 2007,
aceasta a fost foarte consistent , antrenând modific ri de fond ale sistemului
informatic care sus ine Sistemul elicita ie.
Men ion m actele normative intrate în vigoare în perioada 2006 – 2007:
Ordonan a de Urgen nr. 34 din 19 aprilie 2006 privind atribuirea contractelor de achizi ie public , a
contractelor de concesiune de lucrari publice i a contractelor de concesiune de servicii.
Legea nr. 337 din 17 iulie 2006 pentru aprobarea Ordonan ei de urgen a Guvernului nr. 34/2006 privind
atribuirea contractelor de achizi ie public , a contractelor de concesiune de lucr ri publice i a contractelor
de concesiune de servicii.
Hot rârea Guvernului nr. 925 din 19 iulie 2006 pentru aprobarea normelor de aplicare a prevederilor
referitoare la atribuirea contractelor de achizi ie public din Ordonan a de urgen a Guvernului nr. 34/2006
privind atribuirea contractelor de achizi ie public , a contractelor de concesiune de lucr ri publice i a
contractelor de concesiune de servicii.
Hot rârea Guvernului nr. 1660 din 22 noiembrie 2006 pentru aprobarea normelor de aplicare a
prevederilor referitoare la atribuirea contractelor de achizi ie public prin mijloace electronice din Ordonan
a de urgen a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi ie public , a contractelor de
Hot rârea Guvernului nr. 1337 din 27 septembrie 2006 privind completarea Hot rârii Guvernului nr.
925/2006 pentru aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de
achizi ie public din Ordonan a de Urgen a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi
ie public , a contractelor de concesiune de lucr ri publice i a contractelor de concesiune de servicii.
Hot rârea Guvernului nr. 782 din 14 iunie 2006 pentru aprobarea Regulamentului de organizare i func
ionare al Consiliului Na ional de Solu ionare a Contesta iilor.
Hot rârea Guvernului nr. 71/2007 pentru aprobarea normelor de aplicare a prevederilor referitoare la
atribuirea contractelor de concesiune de lucr ri publice i a contractelor de concesiune de servicii din
Ordonan a de Urgen a Guvernului nr. 34/2006
Ordonan a de Urgen a Guvernului nr. 30 din 12 aprilie 2006 privind func ia de verificare a aspectelor
procedurale aferente procesului de atribuire a contractelor de achizi ie public .
Hot rârea Guvernului nr. 942/2006 pentru aprobarea Normelor de aplicare a Ordonan ei de Urgen a
Guvernului nr. 30/2006 privind func ia de verificare a aspectelor procedurale aferente procesului de
atribuire a contractelor de achizi ie public .
Ordinul nr. 26/29.01.2007 pentru aprobarea Regulamentului privind supravegherea modului de atribuire
a contractelor de achizi ie public .
Ordinul nr. 183 din 3 noiembrie 2006 privind aplicarea dispozi iilor referitoare la contractul de
publicitate media.
Ordinul nr. 155/2006 privind aprobarea Ghidului pentru atribuirea contractelor de achizi ie public .
Ordonan a de Urgen nr. 94 din 26 septembrie 2007 pentru modificarea i completarea Ordonan ei de
Urgen a Guvernului nr.34/2006 privind atribuirea contractelor de achizi ie public , a contractelor de
16
Anumite categorii de informa ii furnizate de Sistemul Electronic pentru Achizi ii
Publice (SEAP) sunt prelucrate, în vederea aviz rii, public rii i monitoriz rii, de c
tre Autoritatea Na ional pentru Reglementarea i Monitorizarea Achizi iilor
Publice (ANRMAP), înfiin at în anul 2005. Activitatea acestei autorit i na ionale
este reglementat în urm toarele acte normative:
Ordonan a de Urgen nr. 74 din 29 iunie 2005 privind înfiin area Autorit ii Na ionale pentru
Reglementarea i Monitorizarea Achizi iilor Publice.
Hot rârea Guvernului nr. 895 din 4 august 2005 privind organizarea i func ionarea Autorit ii Na ionale
pentru Reglementarea i Monitorizarea Achizi iilor Publice.
Hot rârea Guvernului nr. 525/30.05.2007 privind organizarea si functionarea ANRMAP
Direc ii de evaluare
Sistemul elicita ie reprezint o component important a moderniz rii extensive a
administra iei, prin care se lanseaz reingineria proceselor de afaceri aferente
achizi iilor publice, în scopul simplific rii structurilor i procedurilor administrative,
prin trecerea de la sistemele bazate pe hârtie la sisteme de lucru f r hârtie. Absen
a documenta iei pe hârtie accentueaz necesitatea implement rii unor controale IT
mai puternice (controale generale i controale programate în sistemele
utilizatorului) precum i a unor controale manuale stricte în mediul în care func
ioneaz sistemul utilizatorului.
Serviciile electronice au asociate elemente de risc deoarece informa ia înscris pe
documentul de hârtie tradi ional este înlocuit cu informa ie digital , care poate fi u
or copiat , modificat , tears , etc., f r s lase urme trasabile. De aceea, pentru acest
tip de sisteme, se acord o importan deosebit securit ii mediului în care func ioneaz
sistemul i cuno tin elor personalului care administreaz sau utilizeaz sistemul.
O aten ie deosebit trebuie acordat evalu rii controalelor care asigur conformitatea
tranzac iilor electronice cu cerin ele asupra informa iei (autenticitate, integritate,
confiden ialitate, nonrepudiere) i siguran a în ceea ce prive te: completitudinea,
acurate ea, validarea/aprobarea, furnizarea la timp.
Direc iile de evaluare avute în vedere în cadrul misiunii de audit au fost:
Conducere i organizare
Finan are
Personal
Preg tirea clientului i accesibilitate
Protec ia informa iilor i confiden ialitatea
Securitatea sistemului
Managementul tehnologiei i al informa iei
Audit intern
17
Constat rile i concluziile privind aceste direc ii de evaluare sunt expuse în sec
iunile urm toare.
5.2.1 Conducere i organizare
Prin Ordonan a de Urgen a Guvernului nr. 73/2007, Agen ia pentru Serviciile
Societ ii Informationale se organizeaz i func ioneaz ca institu ie public cu
personalitate juridic în subordinea Ministerului Comunica iilor i Tehnologiei
Informa iei, în scopul implement rii i oper rii la nivel na ional a sistemelor
informatice ale administra iei publice centrale care furnizeaz servicii publice
destinate guvern rii prin mijloace electronice.
In data de 25 octombrie 2007, a fost încheiat Protocolul de predare – preluare între
Autoritatea Na ional pentru Reglementare în Comunica ii i Tehnologia Informa iei
(care avea în subordine Inspectoratul General pentru Comunica ii i Tehnologia
Informa iei), i Agen ia pentru Serviciile Societ ii Informa ionale.
In cadrul discu iilor desf urate în perioada misiunii de audit, conducerea actual ,
reprezentat de domnul Daniel Gruia, pre edintele ASSI, a prezentat viziunea noii
institu ii i a asigurat condi iile pentru buna desf urare a auditului. Pre edintele ASSI
ia manifestat disponibilitatea de a continua, de a perfec iona i de a extinde
serviciile electronice de tip eguvernare în scopul cre terii performan ei în
administra ia public i al cre terii confortului cet enilor, precum i de a implementa
un cadru de interoperabilitate eficient în administra ia public .
In ceea ce prive te Sistemul elicita ie, acesta trebuie s se sus in din punct de vedere
financiar i s fie capabil s i recupereze costurile (de dezvoltare, de mentenan ,
indirecte). Sunt necesare ac iuni de promovare continu a serviciilor electronice e
licita ie, prin seminarii, anun uri pe portal, campanie de marketing i de instruire a
utilizatorilor.
Extinderea serviciilor electronice astfel încât în anul 2010, cel pu in 50% dintre
serviciile care privesc achizi iile publice s se desf oare prin procedur electronic
(anun uri i tranzac ii propriuzise), reper stabilit printro declara ie ministerial , în
cadrul Conferin ei eGovernment "Transforming Public Services" care a avut loc la
Manchester în luna noiembrie 2005, constituie un obiectiv important urm rit de
conducerea ASSI.
In acest sens, o ac iune absolut necesar care s sus in acest obiectiv este asumarea
de c tre Guvernul României, printrun act normativ, a Declara iei de la
Manchester.
Având în vedere particularit ile sistemelor de tip eguvernare, riscurile la care sunt
expuse, precum i deficien ele constatate în cadrul misiunii de audit în ceea ce prive
te cadrul procedural, conducerea ASSI ia manifestat inten ia de a se implica în
dezvoltarea i asigurarea unui sistem eficient de controale interne IT (politici,
strategii, linii directoare, proceduri) care va fi implementat în perioada urm toare.
18
Constatare: Se constat c nu exist o Strategie IT proprie i un cadru procedural
asociat, precum i lipsa unui sistem de monitorizare i control, ceea ce genereaz
dificultatea de a m sura i de a evalua rezultatele. Nu a fost stabilit un cadru de
referin formal pentru evaluarea performan ei.
Recomandare: Reevaluarea stadiului implement rii Sistemului elicita ie din
cadrul sistemului eguvernare pe baza unei analize de risc asupra domeniului i
elaborarea unei strategii IT la nivelul ASSI pentru programele i proiectele
aferente, precum i definirea unui cadru unitar care s asigure planificarea,
elaborarea i implementarea politicilor în domeniul furniz rii serviciilor
electronice elicita ie, precum i, monitorizarea, evaluarea i controlul realiz rii
acestor politici.
5.2.2 Finan are
Prin protocolul de predare – preluare între Autoritatea Na ional pentru
Reglementare în Comunica ii i Tehnologia Informa ii i Agen ia pentru Serviciile
Societ ii Informa ionale. In acest context au fost preluate fondurile aferente
fostului IGCTI, personalul necesar pentru asigurarea continuit ii furniz rii
serviciilor, implement rii i oper rii sistemelor informatice ale administra iei publice
ce furnizeaz servicii destinate guvern rii prin mijloace electronice, infrastructura
necesar oper rii la nivel na ional a sistemelor informatice ale administra iei publice
centrale, ce furnizeaz servicii publice destinate guvern rii prin mijloace electronice.
Conducerea ASSI apreciaz c în prezent finan area este acoperit , dar este supus
riscurilor care decurg din extinderea num rului de servicii cu valoare ad ugat i din
încas ri reduse.
Neaplicarea unei viziuni integratoare la nivel guvernamental, constituie motivul
suprapunerii unor proiecte având acela i domeniu de aplica ie, ceea ce are drept
consecin alocarea i cheltuirea ineficient a fondurilor sau lipsa unor servicii care s
acopere cerin ele clien ilor.
Lipsa unei coordon ri unitare, lipsa unui cadru comun de cooperare i
interoperabilitate conduce la multiplicarea finan rilor i la sc derea semnificativ a
eficien ei utiliz rii fondurilor. Este necesar o analiz global a finan rilor la nivelul
administra iei publice centrale pentru a depista dezvolt rile aceluia i tip de proiect
efectuate în paralel de c tre instu iile (MEF, MIRA, MMES, CNAS, CNPAS)
generate de
ASSI î i propune ca obiective crearea unui cadru adecvat pentru men inerea
controlului implement rii proiectelor, orientarea finan rilor c tre proiecte dezvoltate
de ASSI, crearea unui cadru de reglementare i cooperarea în vederea asigur rii
interoperabilit ii, dezvoltarea serviciilor electronice pe direc iile prev zute de Legea
nr. 161/2003.
19
5.2.3 Personal
Asigurarea c personalul are cuno tin ele i abilit ile necesare i c este utilizat eficient,
constituie elementul cheie pentru succesul extinderii implement rii i utiliz rii noilor
tehnologii furnizate de Sistemulelicitatie.
Constat ri: In cadrul ASSI, competen ele cerute pentru un astfel de mediu de
operare sunt stabilite i definite. In general, personalul î i cunoa te rolurile i
responsabilit ile i are suficient autoritate pentru a le îndeplini. Competen ele includ:
achizi ionarea tehnologiei, managementul schimb rii, negocierea i managementul
contractelor, managementul aptitudinilor de nivel înalt al contractorilor/consultan
ilor în IT i Comunica ii, securitatea sistemului, managementul proiectului,
managementul riscului, managementul rela iilor/asocierilor i perfec ionarea
implement rii sistemului, operarea i administrarea sistemului.
In cadrul restructur rii care urmeaz s aib loc, noua conducere inten ioneaz
includerea unor noi competen e în cadrul ASSI: auditul sistemelor IT, auditul
securit ii, managementul proiectelor, analiza de procese de afaceri, arhitectur
aplica ii, arhitectur date , care vor trebui s fie consistente cu obiectivele noii institu
ii, cu viziunea i cu noile abord ri ale noii conduceri.
Cerin ele legate de personalul specializat care asigur administrarea, între inerea i
utilizarea sistemelor, necesit o evaluare regulat pentru a se asigura c este alocat un
num r suficient de personal cu competen e privind mediul de operare.
Constatare: Nu exist planuri de instruire pe termen lung având ca obiectiv
promovarea unei performan e ridicate. Având în vedere dinamica domeniului se
impune asigurarea instruirii continue pentru a ob ine i a men ine aptitudinile
necesare.
Pentru a atrage i pentru a p stra personalul i pentru a promova o performan ridicat
este necesar men inerea unei politici de stimulare adecvate.
Recomandare: Având în vedere specificul serviciilor online i evolu iile rapide în
domeniul tehnologiilor informa iei i comunica iilor, este necesar implementarea
unei politici de motivare i men inere a personalului cu experien în administrarea
i operarea sistemelor informatice, atragerea unor resurse umane competente i
responsabile, actualizarea cuno tin elor din acest domeniu prin includerea în
planul de instruire a unor cursuri dedicate profilului special al sistemului e
licita ie.
5.2.4 Preg tirea clientului i accesibilitate
Implementarea Sistemului elicitatie ofer o alternativ la modul clasic de interac
iune, institu iilor publice i mediului de afaceri, în sensul c se ofer posibilitatea de a
alege pot alege unde i când s acceseze serviciile publice care le sunt destinate. Din
ce în ce mai mult, oamenii doresc s acceseze serviciile publice
20
aici i acum. Costul dezvolt rii serviciilor on line este modest în compara ie cu al
altor canale de distribu ie.
Ratele de eroare pentru procesarea electronic a formularelor sunt semnificativ sc
zute fa de proces rile bazate de hârtie. Calculatorul poate verifica modul de
completare al unui formular i poate da îndrum ri, r spunde la întreb ri, i chiar
avertiza utilizatorul s completeze toate câmpurile obligatorii din formular.
Constatare: Gradul de utilizare a serviciilor electronice este determinat de preg
tirea beneficiarilor Sistemului e licita ie, de dotarea tehnic i de abilit ile
utilizatorilor, de nivelul de instruire al acestora, precum i de încrederea acestora în
sistemele IT. De aceea, o latur important în crearea cadrului de implementare a
noilor tehnologii o constituie preg tirea utilizatorilor pentru un astfel de demers.
Un factor care influen eaz negativ receptivitate fa de noile tehnologii îl constituie
preg tirea neuniform a utilizatorilor pentru a utiliza tehnologia informa iei i faptul
c ace tia nu con tientizeaz beneficiile pe care aceasta le aduce.
Utilizatorii nu au înc suficient încredere în securitatea pe care o ofer sistemele de
comunica ii i solu iile informatice, în general.
In vederea lans rii noii versiuni a Sistemului elicita ie, în perioada 11
21decembrie 2006 au fost organizate instruiri pentru aproximativ 900 de utilizatori
i pentru ANRMAP. In anul 2007, au mai fost instrui i, la cerere, aproximativ 300
de utilizatori. Participan ii au fost autorit i contractante sau companii ofertante.
Instruirile sau desf urat atât la sediul IGCTI cât i la sediul beneficiarilor.
Procedura de înscriere a fost de tip online: anun pe site, utilizarea unui cont pentru
înscrieri, ob inerea listei de participan i (separat pentru autorit i contractante de cea
pentru companii ofertante), programare instruire.
Recomandare: Este necesar desf urarea continu a unor ac iuni pentru informarea,
con tientizarea i instruirea utilizatorilor pentru ca ace tia s devin utilizatori
competen i ai Sistemului elicita ie.
Constatare: In etapa de proiectare a func iilor aferente Sistemului elicita ie au fost
analizate i evaluate preg tirea clien ilor, cerin ele acestora pentru servicii
electronice, i modul cum vor beneficia ace tia de ele. Serviciile electronice sunt
disponibile tuturor utilizatorilor care se a teapt s le utilizeze. Sistemul este u or de
utilizat, este asigurat asisten tehnic online pentru utilizatori i ace tia sunt încuraja i
s utilizeze Internetul i tehnologiile asociate.
Cu toate c num rul clien ilor care cunosc serviciul electronic elicita ie disponibil
este semnificativ, exist un num r mare de institu ii publice care utilizeaz procedura
manual . Având în vedere c ASSI nu cunoa te num rul exact al institu iilor publice
din România, cu toate c sau f cut demersuri în acest sens, nu se poate preciza num
rul beneficiarilor poten iali care în prezent nu utilizeaz SEAP.
21
Recomandare: Sunt necesare ac iuni concertate i consecvente pentru dezvoltarea
culturii informatice, pentru instruirea beneficiarilor actuali i poten iali pentru a le
asigura accesul la noua tehnologie, precum i pentru dezvoltarea încrederii în
Sistemul elicita ie, în asigurarea securit ii tranzac iilor i în protec ia datelor.
5.2.5 Protec ia informa iilor i confiden ialitatea
Constatare: A fost creat cadrul legislativ în ceea ce prive te protec ia datelor cu
caracter personal, asigurarea accesibilit ii, disemin rii i a modului de conservare a
informa iilor publice în scopul cre terii încrederii în SEN. Asigurarea protec iei
informa iilor i confiden ialitatea presupun, de asemenea, existen a unui cadru de
monitorizare a modului în care informa ia este gestionat pentru a fi conform cu
legisla ia i cu standardele implementate.
Informa iile gestionate în cadrul Sistemului elicita ie , cu excep ia informa iilor
privind pre urile, sunt în cea mai mare parte informa ii publice i sunt publicate pe
siteul web. Având în vedere specificul i extinderea sistemului, precum i încrederea
pe care utilizatorii trebuie s o aib în Sistemul e licita ie, în caz de fraud , reputa ia
entit ii ar fi puternic afectat , iar sistemul ar fi compromis. Motiva ia pentru fraud
este indus de însu i obiectivul principal al sistemului, efectuarea achizi iilor
publice, fa de care se pot manifesta interese (uneori foarte mari) din partea
competitorilor.
Informa ia privind pre urile, care este cea mai sensibil , are asignat un nivel de
protec ie ridicat, în concordan cu restric iile de divulgare sau de senzitivitate a
acestora. Aceast informa ie este încriptat i nu este accesibil sub nici o form
utilizatorilor neautoriza i.
Nu este definit custodia datelor pentru orice informa ie care ar putea fi divulgat ,
transmis sau primit de la o ter parte. Restric iile asupra divulg rii informa iilor sunt
agreate formal de c tre personal i de ter ii care au acces la informa ii confiden iale.
Nu exist date cu caracter personal gestionate de sistemul elicita ie.
Recomand ri:
(a) Evaluarea sistemului de securitate a informa iilor, de protec ie a datelor, de
asigurare a accesibilit ii, disemin rii i a modului de conservare a informa iilor
publice i impunerea de m suri pentru perfec ionarea acestuia.
(b) Elaborarea unor linii directoare pentru asistarea institu iilor publice, pentru a
permite partajarea informa iilor în scopul livr rii unor servicii de calitate.
(c) Con tientizarea beneficiarilor serviciilor electronice în leg tur cu politica
privind protec ia informa iilor/ confiden ialitatea, i cu faptul c aceasta este
consistent cu cerin ele legislative i asigur utilizarea informa iilor personale întrun
mod transparent.
22
(d) Stabilirea unei metodologii de clasificare a informa iilor i de protejare a
informa iilor senzitive pentru a preveni divulgarea sau accesul neautorizat la
acestea. Evaluarea politicilor de men inere a înregistr rilor i de utilizare a acestora i
a conformit ii cu cerin ele legisla iei în vigoare.
(e) Monitorizarea regulat a utiliz rii informa iei pentru a asigura conformitatea cu
politicile i cerin ele legislative.
(f) Stabilirea sanc iunilor adecvate pentru violarea confiden ialit ii, în vederea cre
terii interesului public în ceea ce prive te adecvarea protec iei propriet ii / confiden
ialit ii la cerin ele beneficiarilor serviciilor electronice, pentru a îmbun t i percep ia
public asupra e ecului datorat nerespect rii sarcinilor legate de protec ia informa
iilor / confiden ialitate.
(g) Publicarea pe web a politicii privind protec ia informa iilor / confiden ialitatea
întro manier accesibil , u or de g sit, i a mecanismelor de utilizare a informa iei.
5.2.6 Securitate
In re eaua global Internet care constituie suportul pentru componenta elicitatie,
asigurarea securit ii re elelor informa ionale devine o cerin fundamental pentru cre
terea încrederii utilizatorilor în mijloacele electronice utilizate. Atât cauzele
atacurilor în re ea cât i evolu iile tehnice cunosc schimb ri rapide, dinamica
acestora necesitând implementarea i evaluarea periodic a sistemului de securitate.
Având în vedere riscurile care decurg din dependen a organiza iilor de re elele de
comunica ii electronice i de sistemele i serviciile informatice, precum i din
vulnerabilitatea acestora în ceea ce prive te securitatea informa iilor, MCTI a ini iat
Strategia Guvernamental în domeniul securit ii informa iei, care este în curs de
avizare i aprobare. Acest proiect are în vedere patru concepte de baz din domeniul
securtit ii: preven ie, protec ie, reac ie i perfec ionare.
Preocup rile MCTI pentru standardizare în domeniul tehnologiei informa iei i al
securit ii informa iei i sistemelor sa materializat în adoptarea i aprobarea
variantelor române ti pentru un num r semnificativ de standarde interna ionale
privind securitatea informa iei, dintre care exemplific m pe cele care se refer la
furnizarea serviciilor electronice:
o SR ISO/CEI 17799:2000 – Tehnologia informa iei. Cod de practic pentru
managementul securit ii informa iei
SR ISO/CEI 154081: 2004 Tehnologia informa iei. Tehnici de securitate
– Criterii de evaluare pentru securitatea tehnologiei informa iei (Partea 1:
Introducere i model general)
SR ISO/CEI 154082:2002 Tehnologia informa iei. Tehnici de securitate –
Criterii de evaluare pentru securitatea tehnologiei informa iei (Partea 2: Cerin ele
func iilor de securitate)
23
SR ETSI TS 102023 V1.2.1:2003 – Semn turi electronice i infrastructuri (ESI).
Cerin e privind politica pentru autorit ile de marcare temporal
Recomand ri:
(a) Elaborarea politicii de securitate IT a ASSI în concordan cu politicile
guvernamentale i cu evolu iile în domeniu.
(b) Crearea cadrului procedural pentru implementarea i utilizarea standardelor
i procedurilor de securitate în cadrul ASSI, care s asigure un grad ridicat de
fiabilitate i siguran al opera iunilor desf urate în cadrul Sistemului elicita ie, în
acord cu practicile interna ionale în domeniu.
Evaluarea stadiului de implementare la nivelul ASSI a politicilor, al adopt rii unor
standarde i recomand ri în domeniul tehnologiei informa iei privind eficien a i
securitatea sistemelor IT.
(c) Adoptarea unei abord ri de management al riscurilor pentru a determina
nivelele de securitate. Elaborarea i men inerea unui set de norme privind
responsabilizarea întregului personal în asigurarea securit ii sistemului.
Este necesar evaluarea i gestionarea riscurilor specifice care decurg din: lipsa
politicii de securitate; lipsa capabilit ilor pentru a adresa subiectele privind
securitatea; viru i i atacuri ale hackerilor, atacuri care genereaz c deri ale
sistemului sau/ i perturb activitatea; inabilitatea de a opera în eventualitate unei c
deri majore de sistem; motive de securitate care nu permit realizarea de
parteneriate cu alte organiza ii.
(d) Impunerea unor standarde de competen pentru speciali tii implica i în
managementul securit ii. Elaborarea unor linii directoare pentru implementarea m
surilor de securitate.
(e) Pentru dezvoltarea încrederii în sistemele informatice, asigurarea securit ii
acestora i protec ia datelor, o m sur eficient este promovarea pe scara larga a
auditului intern în domeniul securit ii sistemelor informatice i re elelor de
comunica ii . Auditul trebuie s furnizeze informa ii detaliate despre elementele
implicate în securitatea informa iilor, s evalueze vulnerabilitatea i amenin rile
existente în cadrul ASSI cu privire la problemele de securitate, s evalueze i s
implementeze infrastructura de securitate optim .
(f) Se va nominaliza persoana care va îndeplini func ia de manager de
securitate.
5.2.7 Managementul tehnologiei i al informa iei
Constatare: In cadrul institu iei sa pus accent pe livrarea serviciilor electronice,
care a constituit obiectivul principal în dezvoltarea componentei elicita ie i sa
acordat o aten ie deosebit schimb rii (reingineriei) proceselor afacerii. Schimb rile
în modul în care opereaz institu iile publice, prin utilizarea
24
tehnologiei informa iei care au impus reproiectarea proceselor afacerii, sunt
semnificative. S au operat perfec ion ri ale fluxurilor de informa ii i ale metodelor
de lucru, acestea impunând modific ri ale sisteme IT la nivelul utiliz rii, în primul
rând la nivelul interfe ei utilizator.
Recomandare: Este necesar monitorizarea continu a riscurilor specifice care
decurg din func ionarea Sistemului elicita ie: existen a unor tehnologii proiectate
sau implementate incorect; utilizarea unor tehnologii nevalidate care genereaz c
deri ale sistemului; utilizarea unor tehnologii neadecvate la cerin ele curente, care
au ca efecte performan , disponibilitate i siguran sc zute; interac iune ineficient a
sistemelor care genereaz procese ineficiente; con inut informa ional inaccesibil sau
greu accesibil, imposibilitatea utiliz rii unor oportunit i pentru cre terea gradului de
partajare a informa iilor i a tehnologiilor între institu ii.
5.2.8 Audit intern
Constatare: In cadrul misiunii de audit extern desf urate de Curtea de Conturi a
României, referitoare la componenta elicita ie din cadrul portalului eguvernare,
au fost constatate deficien e semnificative, în special privind cadrul formal de
implementare a managementului securit ii sistemului, o mare parte a acestor
deficien e decurgând din lipsa sau inconsisten a unor controale adecvate (politici,
proceduri, norme, reglement ri), fapt care genereaz riscuri majore la acest nivel, în
ceea ce prive te func ionarea acestui serviciu electronic. De asemenea, sa constatat
faptul c pân în prezent, în cadrul institu iei, nu sau desf urat ac iuni de audit intern
referitoare la acest domeniu.
Recomandare: Crearea unei structuri dedicate auditului IT i auditului securit ii,
includerea unei teme de audit în planul de audit intern al ASSI, pe anul 2008,
având ca obiect evaluarea stadiului implement rii i utiliz rii Sistemului elicitatie i
perspectivele care decurg din evolu iile în domeniu.
Capitolul 6. Evaluarea controalelor generale IT pentru Sistemul e
licita ie
I. Organizarea i managementul sistemului IT
Implicarea conducerii la cel mai înalt nivel în coordonarea activit ilor legate de
Sistemul elicita ie opera ional în Sistemul Electronic Na ional
Viziunea noii institu ii, asumat de conducerea ASSI, privind continuarea, perfec
ionarea i extinderea serviciilor electronice de tip eguvernare în scopul cre terii
performan ei administra iei publice i al cre terii confortului cet enilor
25
precum i inten ia implement rii unui cadru de interoperabilitate eficient în
administra ia public , confer încredere în ceea ce prive te asigurarea unui cadru
adecvat extinderii Sistemului elicita ie.
Conducerea ASSI ia manifestat inten ia de a se implica în dezvoltarea i asigurarea
unui sistem eficient de controale interne IT (politici, strategii, linii directoare,
proceduri) care va fi implementat în perioada urm toare.
In ceea ce prive te implicarea conducerii IGCTI în coordonarea activit ilor, nu ne
putem exprima o opinie, întrucât nu au fost disponibile documente referitoare la
managementul IT pentru perioada anterioar înfiin rii ASSI. Din interviurile desf
urate cu personalul de conducere de la nivelul departamentelor, direc iilor i
serviciilor rezult c nu au fost elaborate strategii i politici IT formale, bazate pe o
evaluare a riscurilor (riscuri în etapa de implementare, riscuri în etapa de livrare a
serviciilor electronice, etc.), nu au fost stabilite linii directoare pentru atingerea
obiectivelor , nu au fost prezentate ini iative strategice în domeniul IT
determinate de tranzi ia c tre procedurile electronice. Riscurile nu au fost
identificate, planificate i gestionate în mod formal i nu sa efectuat o analiz a
beneficiilor poten iale ale utiliz rii Sistemului elicita ie..
Planificarea activit ilor IT
Constatare: Nu exist un plan corespunz tor i documentat pentru coordonarea
activit ilor legate de func ionarea Sistemului elicita ie. Rezultatele scontate,
precum i intele i etapele în dezvoltarea i implementarea proiectelor elicita ie nu
sunt documentate (în planificarea entit ii).
Managementul programelor i al proiectelor. Raportarea c tre conducerea
IGCTI
Managementul proiectelor elicita ie este cuprinz tor i sistematic dar nu se
realizeaz pe baza unui cadru formal adecvat. Activit ile i progresul proiectelor e
licita ie nu sunt monitorizate în raport cu planurile elaborate în acest domeniu.
Supervizarea, dezvoltarea i între inerea Sistemului elicita ie se desf oar în cadrul
Departamentului Achizi ii Publice prin Mijloace Electronice. Persoanele
responsabile cu monitorizarea rezultatelor au suficient autoritate pentru a identifica
subiectele i pentru a ini ia ac iuni corective. Nu exist o raportare regulat c tre
conducerea de vârf a activit ilor legate de implementarea Sistemului elicita ie. Nu
func ioneaz un sistem unitar de raportare privind utilizarea serviciilor electronice
de tip elicita ie (cu stabilirea termenelor de raportare, activit i urm rite, cauze i m
suri luate în cazul apari iei problemelor, etc.). Nu sunt stabili i indicatori de
performan IT care trebuie s fie adu i la cuno tin a conducerii institu iei, în mod
oficial.
26
Respectarea reglement rilor în domeniu i a cerin elor proiectului
Este stabilit responsabilitatea asigur rii c Sistemul elicita ie implementat este
actualizat în conformitate cu ultima versiune furnizat (versiunea programelor, con
inutul digital, etc.). Configura iile hardware / software au fost livrate i instalate
conform clauzelor contractuale, pe etape i la termenele stabilite. Pachetele software
au fost furnizate conform clauzelor contractuale. Documenta ia a fost furnizat
conform contractului.
Organizarea sistemului de monitorizare a activit ilor i serviciilor IT
Monitorizarea activit ilor legate de Sistemul elicita ie sa realizat la nivelul
Departamentului Achizi ii Publice prin Mijloace Electronice i la nivelul celor trei
servicii din cadrul departamentului: Serviciul Autoritate de Certificare, Serviciul
Autorit i Contractante, Serviciul Suport Companii. Nu exist atribu ii privind
monitorizarea consecvent , pe baz formal , a stadiului proiectelor elicita ie. Nu
exist o metodologie de evaluare a implement rii i utiliz rii proiectelor elicita ie. Se
efectueaz în mod periodic evalu ri ale performan ei utilizatorilor sistemului elicita
ie. Personalul implicat în proiectele elicita ie este instruit profesional în mod
periodic.
Monitorizarea la nivelul utiliz rii
Nu exist o procedur formal privind planificarea i monitorizarea utiliz rii sistemului
la nivelul beneficiarilor sistemului (institu ii i autorit i publice, cet eni, mediul de
afaceri). Serviciile electronice elicita ie au fost furnizate continuu. Utilizatorii sunt
interesa i i se implic continuu în perfec ionarea i diversificarea serviciilor
electronice elicita ie. Nu este documentat o politic de protec ie a utilizatorului
privind calitatea serviciilor electronice.
Concluzii
Implementarea noii versiuni, în ianuarie 2007, a sistemului elicitatie sa realizat ca
urmare a schimb rilor legislative care au impuso. Conducerea institu iei sprijin i
impulsioneaz implementarea Sistemului elicita ie.
Nu a fost stabilit o politic oficial , consistent privind implementarea componentei
elicita ie în cadrul institu iei. Implementarea a fost efectuat f r a exista o strategie
sau politic scris bazat pe evaluarea riscurilor.
Nu au fost elaborate în mod formal proceduri specifice de monitorizare, analiz i
evaluare a beneficiilor poten iale, acestea fiind identificate la nivel general.
Obiectivele IT din cadrul entit ii sunt coroborate cu obiectivele proiectelor pentru
elicita ie.
Conducerea ASSI este con tient atât de importan a introducerii i extinderii
sistemului elicita ie, cât i de riscurile ce pot s apar în cadrul sistemului e
27
licita ie ca urmare a utiliz rii acestuia. De asemenea, este preocupat de g sirea unor
solu ii pentru recuperarea investi iei f cute în proiect, prin cre terea num rului de
utilizatori i finan area dezvolt rilor din cadrul proiectului. Conducerea ASSI
consider necesar aprobarea unor politici privind achizi iile publice, în consens cu
Declara ia ministerial de la Manchester, precum i crearea unui cadru legal care s
prevad obligativitatea pentru institu iile publice de a utiliza SEAP.
In cadru auditului a rezultat c , pe parcursul implement rii sistemului, au avut loc
întâlniri periodice între conducerea institu iei i personalul implicat în func ionarea
SEAP, care au avut ca obiect discu ii legate de necesitatea implement rii Sistemului
elicitatie i de m surile care se impun. Nu au fost prezentate documente care s
consemneze astfel de activit i.
Recomandare: Elaborarea unei strategii formale i a unui plan corespunz tor i
documentat pentru coordonarea activit ilor legate de furnizarea serviciilor
electronice, care s defineasc i s impun principiile i metodele de implementare,
utilizare, între inere i dezvoltare a sistemelor informatice, precum i atribu iile
factorilor implica i în gestionarea proceselor IT.
Conducerea trebuie s fie informat cu regularitate despre activitatea IT, prin
contacte cu factorii implica i în operarea sistemului pentru evitarea discontinuit ilor
i a perturba iilor legate în special de asigurarea continu a serviciilor.
Recomandare: Se impune crearea i consolidarea unui cadru eficient care s
asigure coordonarea i monitorizarea activit ilor legate de sistemul IT
(planificare, raportare, asigurarea calit ii serviciilor, respectarea reglement rilor în
domeniu i a cerin elor proiectelor IT, securitatea informa iei i a sistemului,
continuitatea sistemului, managementul schimb rii i dezvoltarea de sistem, auditul
intern IT). Trebuie s se asigure adecvarea la noul context organizatoric, având la
baz criterii func ionale, compatibile cu ierarhizarea administrativ : asigurarea
unui cadru metodologic i procedural adecvat acestui nivel, informarea regulat a
conducerii în ceea ce prive te func ionarea sistemului informatic, asigurarea respect
rii procedurilor interne IT, asigurarea i utilizarea tehnologiilor informa iei întro
manier eficient , în concordan cu cerin ele specifice.
Nivel de risc: Având în vedere importan a, complexitatea i specificul problematicii
asociate atribu iilor stabilite prin lege pentru ASSI, precum i lipsa unui sistem de
controale interne IT (politici, strategii, proceduri, linii directoare, etc.), adecvat la
cerin ele i amploarea activit ii, consider m nivelul de risc ca fiind major.
Gradul de automatizare
Constatare: Infrastructura hardware/software aferent Sistemului de achizi ii
publice SEAP este de ultim genera ie. Prin utilizarea acestui sistem, institu iile
publice din România i mediul de afaceri au posibilitatea procur rii de bunuri i
28
servicii prin mijloace electronice. Sunt eviden iate efecte pozitive caracterizate prin
sc derea costurilor de achizi ie, cre terea num rului de utilizatori, cre terea num
rului de produse achizi ionate online.
In ceea ce prive te atribuirea prin licita ie electronic a contractelor, au fost
raportate economii reale prin utilizarea serviciului elicitatie disponibil.
Aplica iile sunt integrate în sistem. Acesta este bazat pe o arhitectur deschis i
permite extinderea prin includerea de noi aplica ii. In dezvoltarea i perfec ionarea
sistemului, au fost luate în considerare i cerin ele ANRMAP.
La data efectu rii auditului, aplica iile backoffice sunt integrate cu aplica iile front
office i se asigur comunicarea i schimbul de informa ii dintre acestea întro
modalitate efectiv i compatibil .
Nivel de risc: Având în vedere existen a unor configura ii hardware/ software i a
arhitecturilor i tehnologiilor informatice aferente de ultim genera ie, adecvate cu
cerin ele sistemului SEAP, riscul asociat livr rii unor servicii electronice de
calitate în acest context este apreciat ca fiind minor.
Dependen a de sistemul informatic
Constatare: Având în vedere c în cadrul sistemului SEAP volumul tranzac iilor
este semnificativ, apreciem dependen a de sistemul informatic ca fiind critic ,
aplica iile fiind indispensabile atât pentru nivelul opera ional, cât i pentru
asigurarea fondului de date la nivel central. De asemenea, sunt critice: asigurarea
serviciilor de comunica ie i operativitatea interven iilor în cazuri de incidente.
Datorit faptului c o parte a serviciilor IT este externalizat , existând un risc major în
cazul în care furnizorul ar întrerupe livrarea serviciilor (chiar din motive de for
major ), recomand m o evaluare a riscurilor aferente externaliz rii serviciilor IT i
stabilirea m surilor privind asigurarea continuit ii sistemului.
Nivel de risc: Având în vedere efectele indisponibilit ii sistemului peste un anumit
prag de timp, riscul estimat, generat de dependen a de sistemul informatic este
major.
Resurse i cuno tin e IT
Func ionarea Sistemului elicita ie se desf oar în cadrul a trei servicii din
Departamentul Achizi ii Publice prin MijloaceElectronice: Serviciul Autoritate de
Certificare, Serviciul Autorit i Contractante, Serviciul Suport Companii. Competen
ele în cadrul sistemului elicita ie sunt determinate
Constatare: Personalul aflat în componen a structurilor IT care gestioneaz
procesele aferente componentei elicita ie este instruit atât în ceea ce prive te
utilizarea tehnologiilor informa iei i respectarea procedurilor de operare a
sistemului cât i în aplicarea politicilor privind securitatea sistemului, asigurarea
corectitudinii i protec iei informa iilor.
29
In Sistemul elicita ie sunt antrenate aproximativ 25 de persoane. Pozi iile cheie au
fost identificate, definite i completate.
Aptitudinile personalului sunt evaluate continuu i comparate cu necesit ile
sistemului. Instruirea i suportul men in abilit ile personalului la curent cu dezvolt
rile Sistemului elicita ie. Exist mecanisme pentru a transfera cuno tin ele
dobândite din exterior c tre entitate.
Nivelul de instruire al personalului este ridicat. Se desf oar instruirea continu , pe
categorii de probleme specifice acestui sistem. Astfel, au fost organizate cursuri
interne pe probleme de securitatea sistemelor ( Riscuri de securitate la comunica
ia prin email i Riscuri de securitate privind navigarea pe Internet) la care au
participat aproximativ 50 de persoane.
Pentru departamentele de achizi ii publice specializate din teritoriu apar inând
Direc iei economice a IGCTI, au fost instruite aproximativ 30 de persoane care
utilizeaz sistemul elicita ie (pentru achizi iile proprii).
Sunt realizate test ri periodice (de 3 ori pe an), atât pentru a evalua nivelul
profesional al personalului cât i pentru depistarea problemelor pentru care este
necesar aprofundarea instruirilor. Este necesar extinderea instruirii, având în
vedere, de asemenea, complexitatea problematicii configura iilor sau extinderea
sistemului.
Au mai fost semnalate necesit i de instruire pe subiecte legate de managementul
proiectelor i de managementul schimb rii i dezvolt rii sistemului.
Recomandare: Elaborarea unei politici formale în ceea ce prive te instruirea
personalului i a unui plan documentat, în care s fie incluse teme de interes major,
legate de activitatea ASSI (securitatea sistemelor, managementul proiectelor
managementul schimb rii i dezvolt rii sistemului, standarde i bune practici,
administrare sistem, utilizare aplica ii, etc.).
In general, personalul instruit este suficient in raport cu necesit ile actuale de
utilizare a sistemului elicita ie i cu capacitatea configura iilor de calcul. Exist i
anumite categorii de personal, în special personalul tehnic IT, pentru care se
constat o supraînc rcare a acestuia.
In cazul indisponibilit ii, sarcinile aferente func iei de administrare de sistem sunt
preluate de persoane cu cuno tin e în acest domeniu. Nu exist o procedur formal
privind modul în care trebuie s se desf oare acest proces, ceea ce implic riscuri
majore în ceea ce prive te siguran a i securitatea sistemului.
Constatare: Exist anumite cuno tin e care sunt concentrate la nivelul unui num r
restrâns de personal, în special pentru administratorul de sistem, ceea ce genereaz
un risc major, în cazul indisponibilit ii acestuia.
Recomandare: Evaluarea posturilor considerate ca fiind critice i preg tirea unor
persoane pentru dublarea acestor posturi.
Fluctua ia personalului propriu implicat în coordonarea i func ionarea sistemului e
licita ie, inclusiv în utilizarea sistemului, pe perioada derul rii proiectului este
30
redus . Aceasta se datoreaz politicii de motivare i stimulare a personalului, care are
un moral bun.
Politica de motivare i stimulare ofer flexibilitate în implementarea i managementul
sistemului elicita ie:
promoveaz acceptarea dezvolt rilor tehnologice i a schimb rilor în activitate,
încurajeaz reorientarea aptitudinilor pentru noile activit i,
atrage i re ine personal calificat, cu perfec ionare înalt ,
încurajeaz performan a.
Recomandare: Având în vedere specificul domeniului i evolu iile rapide în
domeniul furniz rii serviciilor electronice, este necesar men inerea politicii de
motivare a personalului cu experien în operarea administrarea i între inerea
sistemului, atragerea unor resurse umane competente i responsabile, actualizarea
cuno tin elor din acest domeniu prin includerea în planul de instruire a unor cursuri
dedicate profilului special al sistemului elicitatie, politici care vor avea ca efecte
cre terea satisfac iei personalului care se va reflecta în nivelul de performan .
Nivel de risc: Având în vedere nivelul de instruire adecvat cu cerin ele de operare
ale sistemului SEAP, precum i utilizarea unor proceduri performante de protec ie
a informa iilor, riscul unor interven ii eronate din partea personalului este
minor.
Increderea în IT
Personalul ASSI este informat despre necesitatea i beneficiile Sistemului elicita ie
, în elege perspectivele i evolu ia sistemului elicita ie, rolurile pe care le va juca i a
tept rile de la acesta.
Conducerea de vârf i personalul implicat în proiecte demonstreaz încredere în
implementarea programelor i proiectelor aferente Sistemului e licita ie. Sistemul
elicita ie acoper necesit ile curente ale activit ii, este flexibil i adaptabil.
In ceea ce prive te coordonarea, administrarea, între inerea i utilizarea, pesonalul
implicat apreciaz sistemul ca fiind complex, dar f r s implice dificult i tehnice
deosebite.
Erorile semnalate în perioada imediat urm toare lans rii sistemului (testarea cu
utilizatorii) au fost corectate. In prezent, cele mai frecvente solicit ri pentru suport
se refer la în elegerea procedurii de autentificare. Semnalarea anomaliilor, erorilor
sau incidentelor se face online sau prin intermediul helpdesk, suportul tehnic este
acordat permanent, prin expunerea modalit ilor de corectare/ rezolvare a
problemelor ap rute.
Sistemul poate suporta extinderea serviciilor electronice elicitatie, prin includerea
de noi aplica ii fiind bazat pe o arhitectur deschis .
31
Atât documenta ia tehnic furnizat de c tre dezvoltatorii software cât i suportul
metodologic oferit în cadrul sistemului sunt apreciate de utilizatorii interni ca fiind
adecvate.
Utilizatorii interni nu consider dificil utilizarea sistemului i apreciaz ca fiind util
implementarea i extinderea acestuia.
Nivel de risc: Increderea în sistem a utilizatorilor i suportul oferit implic , în ceea
ce prive te perspectiva utiliz rii sistemului SEAP, un nivel de risc minor.
Externalizarea activit ilor i serviciilor IT
Externalizarea activit ilor i serviciilor IT include: service echipamente, dezvoltare
software de aplica ie, dezvoltare software de securitate, servicii Internet.
Furnizorii IT sunt companii mari, cunoscute pe pia a IT&C i au reputa ie solid :
TotalSoft – Dezvoltare i între inere sistem software elicitatie – aplica ia de achizi
ii publice
UTI SYSTEM S.A. Dezvoltare Sistem electronic de Achizitii Publice – modulul de
securitate
RCS & RDS S.A. Furnizare de servicii dedicate Internet
NET VISION TELECOM Furnizare de servicii dedicate Internet
HP România – furnizare de echipamente hardware
Nu sunt semnalate probleme în leg tur cu dependen a fa de furnizori. Pentru
versiunea curent , entitatea dispune de codul surs al componentelor software.
Nivel de risc: Având în vedere m rimea i reputa ia furnizorilor, precum i clauzele
contractuale, riscul decurgând din contractele cu ace tia, în ceea ce prive te
calitatea serviciilor, respectarea termenelor, confiden ialitatea este minor.
Calitatea serviciilor
Entitatea auditat este certificat ISO 9001/2000. Manualul calit ii con ine, în harta
proceselor, procesele aferente Sistemului elicita ie. De asemenea, con ine
procedurile opera ionale aferente urm toarelor structuri organiza ionale: Serviciul
Portal eGuvernare, Serviciul Autoritate de Certificare, Serviciul Suport Autorit i
Contractante, Serviciul Suport Companii.
Recomandare: Extinderea certific rii pentru conformitatea cu un standard de
referin de securitate a sistemelor (de exemplu ISO 17799).
32
Raportarea c tre management
Constatare: Conducerea IGCTI nu a implementat un sistem de raportare formal i
regulat a activit ilor IT c tre management. In situa ia în care apar probleme, aceste
sunt semnalate, de regul în scris sau direct, c tre conducere. Lipsa unei proceduri
formale de raportare conduce la cre terea riscului ca problematica IT s nu fie
suficient cunoscut de conducere.
Recomandare: Introducerea unor raport ri formale i sistematice c tre conducerea
ASSI, privind activitatea IT. Se recomand , de asemenea, stabilirea unei raport ri
IT formale i regulate c tre management, pe subiecte clar definite (proiecte IT,
probleme interne, probleme de securitate etc.)
II. Securitatea fizic i controalele de mediu
Controlul accesului fizic
Amplasamentul destinat echipamentelor aferente infrastructurii eguvernare / e
licita ie este adecvat.
Exist regulament de acces care include proceduri de acces stabilite i aprobate
oficial, în spa iile care g zduiesc echipamentele IT. De asemenea, se precizeaz :
cine are acces în s li, care sunt mijloacele prin care se controleaz accesul în aceste
spa ii (card de acces, sistem biometric, camer video), cerin a ca vizitatorii s fie înso
i i de un angajat al entit ii. Sunt instalate echipamente de restric ionare a accesului
utilizatorilor (sistem biometric).
A fost elaborat i documentat procedura opera ional privind accesul fizic în înc
perile în care este amplasat infrastructura IT ce compune Sistemul Electronic Na
ional care include Sistemul elicita ie.
In leg tur cu sistemul biometric utilizat pentru autorizarea accesului în sala
serverelor, sa constatat c între locul unde este amplasat acesta i sala serverelor se
afl un birou, cu acces în sala serverelor prin card de acces, în care î i desf oar
activitatea un num r de 5 persoane (adiacent s lii serverelor).
Recomandare: Amplasarea sistemului de acces biometric la u a de acces în sala
serverelor.
Protec ia mediului
S lile în care este instalat configura ia aferent Sistemului elicita ie sunt echipate
cu: sisteme de prevenire a incendiilor, dispozitive pentru controlul umidit ii, aer
condi ionat, camere ecranate.
La nivel de institu ie exist regulament intern privind protejarea cablurilor de re ea,
amplasarea elementelor active ale re elei în rackuri speciale, etc.
Recomandare: Implementarea unei proceduri privind asigurarea securit ii fizice i
de mediu care s includ controale IT care s asigure, pe de o parte, protec ia
33
împotriva accesului personalului neautorizat, iar pe de alt parte, protec ia în ceea ce
prive te deteriorarea mediului în care func ioneaz sistemul (cauzat de foc, ap ,
cutremur, praf, c deri sau cre teri bru te ale tensiunii electrice).
III. Securitatea informa iilor i a sistemului
Auditul perimetrului de securitate
Scopul stabilirii perimetrului de securitate pentru re ele este acela de a permite
organiza iilor s gestioneze riscurile asociate cu implementarea i utilizarea re elelor
publice sau private. Perimetrul de securitate este primul i cel mai important nivel
de ap rare al unei organiza ii. El asigur ap rarea pe mai multe niveluri care trebuie s
fie parcurse pentru a ob ine accesul la bunurile i resursele informa ionale interne.
Obiective de audit: Controlul asupra proceselor IT privind asigurarea securit ii,
pentru a satisface cerin ele afacerii de a proteja informa iile împotriva utiliz rii
neautorizate, dezv luirii, modific rii, deterior rii sau pierderii este realizat prin
controale ale accesului logic, care asigur c accesul la sistem, date i programe este
permis utilizatorilor autoriza i i ia în considerare:
cerin ele de confiden ialitate;
autorizarea, autentificarea i controlul accesului;
identificarea utilizatorului i profile autorizate;
managementul cheilor criptografice;
gestionarea incidentelor, raportarea i revizuirea;
prevenirea i detectarea viru ilor;
firewalls;
administrarea centralizat a securit ii;
instruirea utilizatorilor;
instrumente de monitorizare a conformit ii, testarea intruziunilor i raportare.
Proceduri de audit. Auditul perimetrului de securitate are ca obiectiv examinarea
componentelor cheie i a subiectelor care trebuie luate în considerare când este
instalat i/sau utilizat o arhitectur de re ea.
Evaluarea perimetrului de securitate sa desf urat pe baza unor documente
prezentate de entitate, pe baza informa iilor ob inute în cadrul interviurilor i prin
inspec ia zonelor în care se afl serverele pe care este instalat Sistemul elicita ie.
Au fost prezentate urm toarele documente:
Personalul cheie de administrare a re elei, personalul cheie de utilizare Schema
arhitecturii de re ea,
Materiale de instruire legate de securitate,
34
Nu au fost prezentate documente privind analiza riscurilor legate de securitatea re
elei, care trebuie s includ informa ii privind sistemul, datele i clasificarea
serviciilor.
Nu au fost prezentate copii ale urm toarelor documente ale organiza iei:
Politica de securitate Strategiile/strategia privind securitatea
Organigrama curent pentru aria de administrare a re elei i a sistemului Rapoarte
de violare a securit ii i proceduri de managementul revizuirilor
Politica de securitate IT
Constatare: In cadrul entit ii auditate exist reguli i proceduri privind securitatea
sistemului IT dar nu exist o politic formal de securitate IT. In ceea ce prive te
administrarea sistemului, aceasta este realizat consistent i coerent, exist persoane
cu atribu ii specificate în fi a postului, privind administrarea sistemului .
De i nu exist un ofi er de securitate, persoana responsabil pentru securitate
(administratorul sistemului) are îndatoriri stabilite in mod concret.
Constatare: Nu este respectat condi ia de separare a atribu iilor pentru
administratorul de sistem i responsabilul cu securitatea.
Securitatea i protec ia informa iilor se asigur prin utilizarea parolelor, a sistemului
antivirus i monitorizarea jurnalelor de opera ii. Exist o procedur formal pentru
atribuirea i administrarea drepturilor de acces. Acordarea parolelor se face pe baza
unor reguli. Administrarea drepturilor de utilizator nu se realizeaz pe baza unei
proceduri, neexistând un formular pentru crearea i tergerea conturilor de utilizator i
pentru acordarea, modificarea i revocarea drepturilor de acces.
Informa iile transmise pe Internet sunt încriptate, riscul pierderii confiden ialit ii
sau al modific rii con inutului informa iilor de c tre persoane neautorizate este
minor.
Nu exist o strategie de securitate documentat care suport necesit ile afacerii
organiza iei. Nu a fost f cut o evaluare consistent a riscurilor pentru a identifica
toate vulnerabilit ile poten iale ale re elei. Nu sunt specificate tipurile de controale
care trebuie implementate. Nu exist proceduri i standarde documentate, suficient
de detaliate, pentru a implementa strategiile de securitate, (cu excep ia procedurilor
din Manualul Calit ii ISO 9001/2000).
Nu au fost implementate strategii formale sus inute prin proceduri i standarde
de securitate detaliate, documentate. O serie de func iuni privind securitatea sunt
preluate de aplica ii i componente specifice din sistemele de operare.
35
Au fost implementate o serie de proceduri importante privind optimizarea re elei
i reducerea riscurilor de intruziune. Acestea nu sunt formalizate întrun document
însu it i aprobat de conducerea entit ii.
Au fost identificate i clasificate potrivit nivelului lor de încredere toate conexiunile
re elei organiza iei i au fost separate, în DMZ ( Zona Demilitarizat ), serviciile i
conexiunile, în func ie de categoriile de încredere definite.
Au fost terse din sistemul de operare server, toate serviciile care nu sunt necesare i
au fost instalate toate patchesurile curente în sistemul de operare i în aplica ii. A
fost minimizat utilizarea protocoalelor neîncriptate. Se efectueaz scanarea viru ilor
pe servere externe, înainte de a admite fi ierele în re eaua organiza iei.
Au fost redenumite conturile de administrator (fa de default) pentru a face dificil
identificarea lor. Au fost schimbate toate parolele default, au fost dezactivate toate
conturile guest i au fost terse sau dezactivate toate serviciile FTP anonime. A fost
restric ionat puternic accesul de la distan la logurile sistemului. Au fost revizuite
atent i ajustate în concordan cu caracterul critic al informa iei permisiile legate de
fi iere, directoare, etc.. Sunt afi ate mesaje de avertizare atunci când sunt accesate
resursele sistemului. Sunt separate adecvat conturile de administrare a sistemului.
Constatare: Nu este nominalizat un ofi er de securitate IT.
Nivel de risc: Nu exist o politic de securitate formal care s acopere toate activit ile
IT întrun mod consistent, ceea ce implic un risc major.
Zone de încredere
Punctele de acces fizic la resursele informatice prezente în schema arhitecturii de
re ea au fost identificate iar personalul are cuno tin despre acest fapt. Arhitectura
DMZ implementat este potrivit cu clasificarea privind încrederea i protocoalele
asociate cu conexiunile la serviciile de re ea. Nici unei persoane nu i este permis
accesul la toate componentele structurii securit ii re elei organiza iei.
Conexiuni externe
Conexiunile externe sunt protejate împotriva atacurilor informatice (viru i, acces
neautorizat) prin utilizarea urm toarelor componente i tehnologii specifice re elelor:
Sistem de detectate a intruziunilor (IDS)
Routere, firewall,
Layer transparent de securitate,
Criptarea traficului
Sistem antivirus centralizat
36
Au existat numeroase atacuri informatice asupra re elei, dar acestea au fost
neutralizate.
Echipamentele de tip Router au ca prim responsabilitate rutarea traficului i nu
accentuarea filtr rii datelor i sunt instalate între segmente din re ea cu diferite
nivele de încredere pentru a asigura conectivitatea. Toate serviciile i protocoalele
care nu sunt necesare au fost terse din toate router –ele externe.Toate punctele de
acces la routere care nu sunt necesare au fost terse pentru a reduce accesul la
serviciile prin care un router poate fi gestionat. Router ele externe nu sunt utilizate
ca filtre granulare i filtrarea static sau dinamic este implementat prin firewall în
concordan cu politica pentru firewall.
Echipamentele de tip Switches utilizate au capacitatea de a fi gestionate i/sau
monitorizate de la distan , au fost fixate limite de la care acestea pot fi accesate în
re ea, au fost terse serviciile care nu sunt necesare.
Firewalls Nu exist documenta ie care s precizeze ceea ce este permis în interiorul
i în exteriorul re elei pentru toate serviciile i aplica iile. Nu este documentat formal
arhitectura gateway. Setul de reguli firewall interzice tot traficul, cu excep ia
cazurilor când acesta este cerut explicit.
Detectarea intruziunilor
A fost implementat un sistem de detectare a intruziunilor (IDS – Intrusion
Detection System), pentru identificarea i izolarea acestora.
Regulile pentru IDS nu sunt documentate astfel încât s se specifice la ce
evenimente se va activa o alert i ce r spuns se va da pentru acea alert .
Evaluarea securit ii re elei
Testarea penetr rii este considerat ca o func ie integral de baz a securit ii informa
iei. Organiza ia efectueaz lunar teste de penetrare. Au fost documentate i aprobate
scopurile i obiectivele pentru testele de penetrare.
Au fost elaborate i implementate proceduri privind securitatea re elei, specializate
în func ie de tipurile de componente hardware i de rolul pe care le au acestea în
cadrul re elei: procedura opera ional privind securitatea sistemelor de guvernare
electronic i procedura opera ional privind mentenan a subsistemului gateSAFE.
Acestea nu sunt elaborate i documentate în întregime în concordan cu cerin ele
unor standarde interna ionale de securitate.
Constatare: Nu este nominalizat un manager pentru securitatea sistemului.
Institu ia a ini iat demersurile pentru certificarea sistemului în ceea ce prive te
managementul securit ii i în acest context sunt în curs de elaborare: politica de
securitate, planuri i proceduri privind securitatea.
Recomandare: Revizuirea i completarea procedurilor existente cu controale
adecvate acestui tip de sistem care este expus întrun grad înalt atacurilor din
exterior, cât i elaborarea unor noi proceduri, în conformitate cu standardele
37
interna ionale de securitate (ex. ISO 17799) . De asemenea, recomand m
nominalizarea unui manager pentru securitatea sistemului.
Pentru a cre te con tientizarea cu privire la securitate în cadrul sistemului, au fost
organizate cursuri interne, testarea personalului, instruiri tematice. Se desf oar
instruirea continu privind securitatea pentru tot personalul relevant. Partenerii sunt
certifica i pentru standarde de securitate.
Pentru a r spunde schimb rilor de sistem sau ale mediului de operare, nu sa realizat
în mod formal o evaluare a riscurilor, documentat , i o urm rire regulat a
vulnerabilit ilor ce pot s apar .
Sunt implementate mecanisme eficace pentru: asigurarea protec iei împotriva
atacurilor, inclusiv viru i, hackeri, etc.; identificarea unic a participan ilor la o
tranzac ie electronic ; asigurarea c participarea la o tranzac ie nu poate fi recuzat .
Sistemul elicita ie este testat extensiv i regulat i revizuit dar nu sunt implementate
politici i proceduri formale aferente acestor opera iuni. Testele continue i
revizuirile includ: test de penetrare (test real life de securitate pentru conexiuni
Internet sau prin acces la distan din exterior); revizie diagnostic (o revizie intern
detaliat a acelor p r i ale sistemului relevante pentru securitate).
Nu este implementat un sistem automat care recunoa te hibele în sistemul de
securitate.
Au fost raportate activit i neautorizate i vulnerabilit i ale sistemului de c tre
administratorii de re ea c tre conducerea institu iei.
Accesul individual la sistem i informa ii este strict controlat, dar nu pe o baz formal
.
Protec ia informa iilor i confiden ialitatea
Nu este dezvoltat un plan de management al confiden ialit ii. Exist angajamente de
confiden ialitate semnate de fiecare angajat din cadrul Departamentului e
Guvernare implicat în Sistemul elicita ie i de angaja ii Departamentului de achizi
ii publice prin mijloace electronice.
Nu este documentat o politic de protec ie a informa iilor i de confiden ialitate în
concordan cu cerin e specificate care s promoveze o partajare a informa iilor corect
i rezonabil cu beneficii reflectate în eficien i eficacitate.
In condi iile în care se solicit informa ii identificabile i individuale, nu exist
posibilitatea divulg rii privind: informa ia colectat i modul în care a fost colectat ,
utilizarea inten ionat a informa iei colectate i a modului în care va fi furnizat ,
partajarea informa iei cu o ter parte, modul în care entitatea men ine acurate ea i
securitatea informa iilor individuale identificabile pe care le prime te i le memoreaz
, modul în care persoanele pot s i revizuiasc informa iile proprii i s solicite corec
ii.
38
Nu se realizeaz o monitorizare a practicilor, pentru a preg ti aderarea la politica de
management al protec iei informa iilor i a inregistr rilor a institu iei.
Administrarea securit ii
Nu este nominalizat un responsabilul pentru securitatea Sistemului elicita ie, altul
decât administratorul de re ea. O parte dintre atribu iile responsabilului pentru
securitatea sistemului sunt alocate administratorilor de re ea. Cele dou func ii
trebuie s aib atribu ii distincte.
Controlul accesului logic
Revizuirea jurnalelor de opera ii în cadrul Sistemului elicita ie
Nu exist proceduri privind monitorizarea i analiza periodic a jurnalelor de opera ii
ale sistemului IT e licita ie . Nu exist proceduri privind administrarea
utilizatorilor. In prezent, este în curs de elaborare un plan de securitate în care se
inten ioneaz includerea unor astfel de proceduri.
In ceea ce prive te administrarea drepturilor utilizatorilor, exist manuale de
utilizare pentru utilizatorii externi. Pentru utilizatorii interni exist drepturi i roluri
asignate de c tre administratorul bazei de date. Acestea sunt men ionate în
manualul de utilizare pentru actorul – Operator SEAP.
Nu exist o procedur formal care s men ioneze m surile ce trebuie luate în cazul în
care administratorul de sistem pleac din institu ie.
Exist un formular electronic pentru crearea i tergerea conturilor de utilizator, i
pentru acordarea, modificarea i revocarea drepturilor de acces. Drepturile de
acces se acord în baza acestui formular. Formularul fiind electronic nu con ine
semn turi, identificarea autorului i a utilizatorului realizânduse automat.
Reguli pentru parole
Pentru accesul în sistem sunt definite urm toarele reguli pentru parole:
Lungimea parolei – minim 6 caractere;
Nu sunt specificate reguli referitoare la con inutul parolei;
Nu este men ionat o perioad de valabilitate a parolei;
Nu este specificat un num r de încerc ri pân la blocarea contului, dac parola nu este
valid ;
In cazul bloc rii contului, numai administratorul contului îl poate debloca;
Nu este precizat un num r de parole precedente re inute de catre sistem;
Utilizatorii nu sunt for ati s schimbe parola la prima accesare.
39
In Sistemul elicitatie, accesul din exterior se face pe baza unui certificat digital.
La fiecare autentificare utilizatorul trebuie s se conecteze cu cont utilizator i parol
de acces, dup ce în prealabil a ob inut certificatul digital. Aceste metode de
autentificare sunt complementare, nefiind posibil accesarea sistemului din exterior
f r aceste elemente. Toate cererile f cute c tre Sistemul elicita ie sunt tratate, în
mod transparent, de catre un layer de securitate.
Au fost elaborate i documentate proceduri opera ionale privind revocarea
certificatelor digitale, privind emiterea i reînnoirea certificatelor digitale pentru
Serviciul portal eguvernare.
Proceduri de control asupra conturilor cu drepturi depline
Drept de administrare pentru sistemul elicita ie îl de ine administratorul de baze
de date, care aloc i autorizeaz conturile cu drepturi depline i monitorizeaz activit ile
utilizatorilor cu drepturi depline.
IV. Managementul continuit ii sistemului
Constatare: In scopul elimin rii riscului unor defec iuni majore generate de
sistemul IT sunt implementate proceduri pentru men inerea integrit ii datelor entit
ii prin intermediul unor servicii opera ionale i facilit i de prelucrare i, dac este
necesar, prin furnizarea unor servicii temporare pân la reluarea serviciilor
întrerupte. Nu este documentat un plan de recuperare în caz de dezastru.
Copii de siguran (backup) ale datelor si sistemului
Exist o procedur formal de salvare a fondului de date. Sunt efectuate copii atât
automat, cât i manual, cu frecven zilnic , pe servere oglind i pe benzi magnetice.
Con inutul copiei este de tip sistem, fond de date, complet i incremental. Locul de
stocare a copiei este în cl direa în care este instalat sistemul care opereaz în modul
de produc ie.
Nu exist o loca ie de backup diferit de sediul ASSI, ceea ce implic un risc major în
ceea ce prive te recuperarea datelor i a sistemului, pentru cazul în care sar produce
o avarie cu distrugeri fizice Exist un proiect de creare i implementare a unui data
center, ca loca ie de backup, respectând standardele interna ionale din domeniu.
Copiile de rezerv ale sistemului sunt testate automat cu frecven s pt mânal . Nu
exist o procedur formal de testare. Exist o procedur de recuperare/restaurare.
40
Managementul capacit ii
A fost efectuat analiza capacit ii configura iei disponibile de a face fa cerin elor
sistemelor sau aplica iilor prin prisma unor criterii de performan stabilite.
Concluziile formulate au generat m suri referitoare la eliminarea îngust rilor de
trafic, optimizarea configur rii re elelor i/sau sistemelor, reproiect ri ale fluxurilor,
extinderea configura iilor sau înlocuirea acestora. În prezent, nu exist probleme
legate de necesitatea extinderii configura iei hardware/software. Sistemul actual a
fost proiectat pentru a admite 100000 de utilizatori.
Managementul problemelor
Constatare: Managementul problemelor nu este realizat pe baza unei proceduri
formale, problemele fiind raportate ierarhic. Nu exist o eviden a problemelor
(registrul problemelor) i nici proceduri pentru analiza problemelor, pentru urm
rirea problemelor r mase deschise sau nerezolvate.
Utilizatorii semnaleaz problemele prin email, telefon sau pe forumul de discu ii.
Din punctul de vedere al aplica iei, pentru probleme software, se ine o eviden
electronic , pe calculatorul administratorului, printro aplica ie cu interfa web de
raportare a bugurilor, direct dezvoltatorilor. Ace tia, trateaz anomaliile semnalate i
transmit actualiz rile necesare.
Problemele ap rute, sunt analizate de conducerea Departamentului eGuvernare i
de cea a Departamentului de achizi ii publice prin mijloace electronice.
Pentru detectarea problemelor r mase deschise se utilizeaz o aplica ie care
efectueaz o filtrare dup acest criteriu.
Nu exist o procedur pentru tratarea cazurilor de probleme detectate i nerezolvate.
Planificarea continuit ii
Planificarea continuit ii proceselor IT presupune existen a unui plan documentat
corespunz tor de continuitate a afacerii i, în particular, a opera iunilor IT. Planul de
continuitate a afacerii reprezint un control corectiv semnificativ i are la baz o
metodologie care s ofere cadrul procedural pentru toat problematica abordat :
definirea obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor,
stabilirea termenelor i a responsabilit ilor, aprobare. Trebuie examinate, de
asemenea, m surile de prevenire a dezastrului pentru a opera perfec ionarea
acestora. Pe baza analizelor i informa iilor preliminare se realizeaz dezvoltarea
planului de continuitate, care va fi implementat, testat prin simul ri periodice i
actualizat în func ie de schimb rile impuse de rezultatele simul rilor.
Planul de continuitate trebuie s fie f cut cunoscut personalului implicat în procesele
IT.
41
Constatare: Nu a fost documentat corespunz tor un plan de continuitate a activit
ii IT. A fost elaborat o versiune care se refer în special la crearea unui centru de
recuperare în caz de dezastru, întrun loc separat de cel în care func ioneaz sistemul
în modul de produc ie.
Recomandare: Elaborarea planului de continuitate a activit ii IT.
Implementarea acestuia trebuie s constituie o prioritate pentru ASSI, întrucât,
sistemul func ioneaz la nivel na ional, în timp real, dependen a de sistemul IT
este mare, iar pierderile rezultând din nefunc ionarea sistemului sau distrugerea
datelor ar fi semnificative, reputa ia institu iei fiind deteriorat .
Acest plan trebuie s includ crearea unui centru de recuperare în caz de dezastru,
întro loca ie separat de cea în care func ioneaz sistemul în modul de produc ie.
Pân la definitivarea acestui proiect recomand m crearea condi iilor pentru p strarea
unei versiuni a copiilor backup întro alt loca ie.
Managementul opera iunilor IT
Proceduri opera ionale IT
Sunt documentate urm toarele proceduri de operare: proceduri de recuperare sau
restartare, instalare de software i hardware, raportarea incidentelor, rezolvarea
problemelor, asigurarea mentenan ei pentru infrastructura hardware a Sistemului
Electronic Na ional.
Compartimentul de managementul calit ii este reponsabil de actualizarea
procedurilor opera ionale IT.
In ceea ce prive te între inerea sistemului IT, sunt încheiate contracte de service cu
firme de profil care asigur func ionalitatea neîntrerupt a configura iilor hardware /
software.
Protec ia împotriva viru ilor
Au fost instalate programe antivirus pentru protejarea sistemelor IT împotriva
atacurilor din exterior. Solu ia antivirus se aplic distinct, serverelor i tuturor sta
iilor de lucru (serverele i sta iile de lucru au solutii antivirus diferite). Software ul
antivirus scaneaz toate fi ierele (pe server i sta iile de lucru) automat, în mod
periodic.
Utilizatorii nu au permisiunea s dezactiveze softwareul antivirus la sta ia lor de
lucru.
Recomandare: În scopul elimin rii riscului unor defec iuni majore generate de
sistemul TI, se vor implementa controale adecvate astfel încât entitatea s poat relua
în mod eficient opera iunile, întro perioad de timp rezonabil , în cazul în care func
iile de prelucrare nu mai sunt disponibile. Sunt necesare, de asemenea, completarea
procedurii opera ionale de backup, între inerea i gestionarea copiilor
42
de siguran ale datelor i sistemelor, implementarea unor politici pentru
managementul problemelor, planificarea continuit ii, protec ia împotriva viru ilor.
Nivel de risc: Lipsa planului de continuitate a proceselor IT în condi iile în care
sistemul func ioneaz la nivel na ional în timp real, dependen a de sistemul IT este
mare, iar pierderile rezultând din nefunc ionarea sistemului sau distrugerea
datelor ar fi semnificative, implic un risc major.
V. Managementul schimb rii i al dezvolt rii
Constatare: La nivelul entit ii auditate nu exist o procedur formal pentru
implementarea schimb rilor tehnice pentru sistemul IT, în ceea ce prive te
schimbarea configura iei hardware/software sau dezvolt rile de aplica ii IT.
Schimb rile de sistem au fost autorizate i testate. Exist un formular pentru cereri de
modificare i dezvoltare a sistemului IT, pe baza cerin elor i reglement rilor legale
din domeniul achizi iilor publice emise de ANRMAP. Cererile se aprob la nivelul
institu iei. Este realizat o monitorizare continu pentru a se asigura c nu au loc
schimb ri neautorizate de sistem, toate modificarile se fac in baza unor documente
oficiale emise de organismele autorizate. Investi iile în hardware, software i
servicii IT pentru sistemul elicita ie sunt evaluate corespunzator pe baza unor note
de fundamentare.
Recomandare: Implementarea unei proceduri formale privind managementul
schimb rii sistemului, care s prevad modul de operare a schimb rilor tehnice pentru
sistemul IT, în ceea ce prive te configura ia hardware/software sau dezvolt rile
aplica iilor IT, modul de urm rire a implement rii i asigurarea unei eviden e clare a
modific rilor operate asupra sistemului IT.
Capitolul 7. Evaluarea portalului www.elicitatie.ro
Portalul www.elicitatie.ro constituie punctul de acces pentru ini ierea livr rii de
servicii electronice pentru achizi ii publice. Eficacitatea livr rii serviciilor
electronice depinde, în primul rând, de ceea ce ofer portalul web în termeni de
informa ie, interactivitate i tranzac ii. Beneficiile livr rii de servicii electronice,
precum i utilizarea performant a acestora sunt condi ionate de gradul în care site
urile web sunt accesibile i prietenoase pentru utilizatori.
Importan a focaliz rii pe necesit ile utilizatorilor. Necesit ile utilizatorilor trebuie s
fie identificate i definite din punctul acestora de vedere. Din aceast perspectiv ,
procesul de dezvoltare a unui site web trebuie s porneasc de la cerin a furniz rii
unor informa ii i servicii accesibile i folositoare utilizatorului,
43
în func ie de categoria din care acesta face parte i de cuno tin ele sale tehnice. Este
esen ial ca siteurile web s fie proiectate pentru a fi utilizate i nu pentru a
defavoriza sectoare ale popula iei.
Constatare: Componenta elicita ie este integrat în sistemul eguvernare. In
prezent, intrarea în aplica ie se poate realiza în trei moduri: prin portalul e
guvernare, direct prin portalul elicita ie sau prin intermediul unui motor de c utare
(Google) . Se recomand intrarea în aplica ie direct prin portalul elicitatie. Se inten
ioneaz perfec ionarea interfe ei front office – backoffice, prin unificarea intr rilor
în portalul eguvernare. Implementarea noii solu ii presupune modificarea
procedurii de autentificare întrucât unificarea componentelor care vor deveni
interoperabile va impune întroducerea unor filtre pentru autentificarea personalizat
la nivel de component .
Recomandare: Revizuirea arhitecturii i a formei de prezentare pentru portalul e
guvernare, i evaluarea oportunit ii reproiect rii acestuia. In acest context este
necesar i o evaluare a resurselor de finan are necesare.
Obiectivele afacerii aferente portalului elicitatie sunt: furnizarea unor servicii de
calitate, transparen a i trasabilitatea achizi iilor publice în România. Utilizatorii int
sunt autorit i contractante, operatori economici, institu ii publice i public.
7.1 Considerente generale privind cadrul de auditare a portalului www.e
licitatie.ro
Constatare: Con inutul portalului www.elicitatie.ro evaluat este relevant i
adecvat, interfa a cu utilizatorul este prietenoas , func ionalitatea este adecvat i
orientat pe necesit ile utilizatorilor.
A fost luat în considerare consultarea cu utilizatorii asupra con inutului, func
ionalit ii i interfe ei, realizat prin tehnici interactive online (forum care colecteaz
reac ia utilizatorilor) pe tot parcursul dezvolt rii sistemului, în scopul cre terii
performan ei serviciilor electronice elicita ie prin utilizarea unor infrastructuri i
servicii IT de calitate.
7.2 Criteriile de evaluare
Aspectele cele mai importante privind evaluarea portalului www.elicitatie.ro se
refer la: relevan a con inutului; actualitatea i acurate ea informa iilor furnizate;
furnizarea tranzac iilor; accessibilitatea siteului la momentul necesar, utilizând
instrumente de c utare cu o vitez de r spuns acceptabil ; organizarea logic a con
inutului, în concordan cu necesit ile utilizatorilor; existen a linkurilor care îi ajut
pe utilizatori s g seasc informa ii atât pe site cât i în alt parte; asistarea utilizatorilor
în stabilirea cu u urin a scopului a siteului web i a modului de utilizare efectiv ;
furnizarea informa iilor privind legalitatea, necesare utilizatorilor
44
pentru a în elege consecin ele utiliz rii portalului www.elicitatie.ro; facilitarea
comunica iei bidirec ionale; furnizarea unor motoare de c utare performante.
Criteriile de evaluare care au fost luate în considerare pentru a stabili dac
utilizarea siteului web este prietenoas au fost:
Deschiderea: m sura în care portalul www.elicitatie.ro furnizeaz informa ii
complete i de încredere i oportunit i pentru interac iune între sistem i utilizatori.
Orientarea: orientarea utilizatorului în cadrul portalului www.elicitatie.ro,
comunicarea cu claritate a scopului i audien ei int , precum i furnizarea asisten ei
help sau a instruc iunilor de exploatare. Este necesar de asemenea comunicarea
informa iilor necesare despre protec ie, copyright/condi ii de utilizare sau
securitate.
Acoperirea: con inutul portalului www.elicitatie.ro este adecvat scopului declarat
i utilizatorilor.
Men inerea la zi i acurate ea: con inutul trebuie s fie evaluat i men inut relevant i
actualizat, corect din punct de vedere lingvistic, s îndeplineasc criteriile de calitate
pentru informa ie.
Interactivitatea: portalul www.elicitatie.ro trebuie s furnizeze informa ii la cerere,
forme pentru servicii email, servicii de comunica ie interactiv în timp real, tranzac
ii standard sau la cererea utilizatorilor, s permit transmiterea formelor i
înregistrarea pentru servicii, s ofere oportunit i pentru discu ii publice, s furnizeze
baze de date pentru c utare.
Accesibilitatea: se refer la gradul în care portalul www.elicitatie.ro este disponibil
pentru un num r mare de utilizatori cu nivele diferite de aptitudini i tehnologii.
Accesibilitatea se caracterizeaz prin: viteza de acces la site, disponibilitate,
selectivitate, reg sire cu ajutorul instrumentelor de c utare uzuale, leg turi c tre
alte siteuri.
U urin a utiliz rii: se refer la u urin a cu care utilizatorii pot naviga în func ie
de scopul c ut rii în interiorul portalului www.elicitatie.ro i pot g si informa iile
sau serviciile c utate.
Leg turi (Linkuri): se refer la furnizarea leg turilor interne c tre pagina principal
sau c tre alte categorii de informa ii sau servicii electronice din interiorul portalului
www.elicitatie.ro, sau c tre pagini din alte siteuri web.
Proiectarea i arhitectura: se refer la organizarea i aspectul grafic al paginilor
portalului www.elicitatie.ro.
Metadatele: se refer la informa iile necesare motoarelor de c utare pentru a localiza
portalul www.elicitatie.ro în concordan cu criteriile de c utare. Ele
45
furnizeaz informa ii despre informa ii i ajut utilizatorul s g seasc sursa informa iilor
c utate.
k) Navigabilitatea: se refer la facilit ile de c utare i acces interactiv la informa ii din
cadrul portalului www.elicitatie.ro oferite de instrumente specializate (browsere,
motoare de c utare).
7.3 Constat ri rezultate din testarea controalelor specifice pentru evaluarea
portalului www.elicitatie.ro
7.3.1 Evaluarea portalului www.elicitatie.ro
Rezultatele testelor asupra portalului www.elicitatie.ro au fost ob inute prin
demonstrarea func ionalit ii sistemului elicita ie de c tre personalul de specialitate
din ASSI i prin testarea zonei publice accesibile pe Internet f r a fi necesar
autentificarea.
Utilizatorii interac ioneaz cu siteul web pentru satisfacerea urm toarelor cerin e:
consultarea informa iilor afi ate pe portalul elicita ie, autentificare, desc rcarea
formularelor i a documentelor aferente aplica iei elicita ie, completarea
formularelor, transmiterea formulare completate, consultarea rapoartelor afi ate pe
portal.
Tipul i structura siteului web sunt adecvate scopului i cerin elor utilizatorilor, ace
tia având la dispozi ie atât instrumentele, formularele i documentele necesare desf
ur rii procedurilor electronice, cât i asisten online din partea furnizorului (help
contextual, mesaje de avertizare, mesaje de confirmare, utilizarea listelor de selec
ie, documenta ie online, forum de discu ii).
Formularele electronice, disponibile pentru completare, respect formatele cerute de
reglement rile în vigoare i sunt compatibile cu formatele utilizate în cadrul de lucru
european.
Arhitectura este conceputa prin gruparea informa iilor intro manier accesibil
utilizatorilor pentru asigurarea identific rii facile a informa iilor c utate. In acest
sens, Meniul de baz con ine titluri sugestive ale categoriilor de informa ii (sec iuni).
Portalul www.elicitatie.ro se identific cu u urin a prin publicarea siglei i a
denumirii serviciului public electronic, iar paginile care îl compun poarta în titlu
sigla i denumirea institu iei, pentru a putea fi confirmat în permanen situarea
utilizatorului în interiorul sistemului.
Constatare: Portalul www.elicitatie.ro are con inut corect din punct de vedere
lingvistic.
46
Constatare: Con inutul necesar pentru a suporta serviciile furnizate pe portalului
www.elicitatie.ro este grupat întro maniera logica, modul de accesare a informa
iilor bazânduse pe tehnicile clasice de navigare pe Internet. Informa iile relevante
sunt grupate dup con inut.
Con inutul informa iilor este cuprinz tor, inteligibil i util, meniurile sunt suficient
de explicite. Aspectul paginilor este prietenos: textul, grafica, leg turile, sistemul
de navigare, aspectul i dimensiunea textului, culoarea fundalului. Sunt folosite
foarte pu in informa ii în format video sau audio. Partea grafic este optimizat
pentru ca timpul de accesare i desc rcare a formularelor s fie minim. Sa constatat
preocuparea permanent pentru îmbun t irea formei i a con inutului.
In zona public sunt accesibile informa ii legate de anun uri i rezultate privitoare la
achizi iile publice ini iate prin procedura electronic , precum i informa ii aferente
procedurilor de atribuire.
Versiunea actual a sistemului prelucreaz urm toarele categorii de anun uri: anun
uri de inten ie publicate, anun uri de participare publicate, anun uri de atribuire
publicate, anun uri de concurs (solu ii), concesionari, rezultate concurs de solu ii.
Pentru fiecare tip de anun introdus în sistem sunt afi ate listele cu autorit ile
contractante. Prezen a în list reprezint i confirmarea c informa iile transmise de
utilizator au fost introduse în sistem i au fost incluse în fluxul de prelucrare impus
de procedura electronic .
Listele cu autorit ile contractante sunt afi ate în zona public a sistemului i con in
urm toarele informa ii: denumire contract, autoritate contractant , termen (data
publicare, data limit participare).
In versiunea actual a sistemului, procedurile de atribuire se refer la: cereri de ofert
, cump r ri directe, licita ii electronice prin procedura offline.
In zona public sunt utilizate acelea i formate de prezentare a informa iilor care sunt
utilizate de aplica ia propriuzis .
In Anexa I sunt prezentate informa iile referitoare la anun uri i la procedurile de
atribuire, care au fost extrase din zona public a portalului www.elicitatie.ro.
Constatare: Site ul web aferent componentei e licitatie este structurat întro
manier logic i util , pentru a facilita navigarea.
Gruparea i ierarhizarea logic a con inutului sunt adecvate acestui tip de aplica ie.
Metodele de grupare utilizate sunt: alfabetic , cronologic , geografic , bazate pe
utilizator, bazate pe activit i, audien a (indivizi, afaceri, guvern), leg turi cu alte
grupuri de informa ii (linkuri c tre ANRMAP, Guvern, etc.), etichetarea paginilor
web, harta siteului).
Utilizatorii în eleg modul de accesare a informa iilor. Pentru eventuale nel muriri,
foarte rare în prezent, se utilizeaz forumul de discu ii existent pe web
47
site, comunicarea problemelor prin email sau prin telefon. In perioada de lansare a
aplica iei num rul utilizatorilor care apelau la aceste servicii era mare, i, se datora,
în principal, reticen ei acestora fa de noile instrumente de lucru impuse de noua
versiune a Sistemului elicita ie.
Structura site ului web aferent componentei elicita ie este suficient de cuprinz
toare i menuurile sunt explicite.
Testarea intern a siteului web aferent componentei elicita ie a fost efectuat ini
ial cu un grup de utilizatori proprii i cu utilizatori selecta i dintre beneficiarii
versiunii anterioare a sistemului elicita ie. Aceast etap a fost urmat de validarea în
exploatare curent .
Obiectivele websiteului aferent componentei elicita ie i serviciile care trebuie
monitorizate i evaluate sunt consistente cu necesit ile utilizatorilor. Evaluarea i
monitorizarea serviciilor se realizeaz pe baza unor filtre pentru detectarea i
semnalarea incidentelor.
Constatare: Atât conducerea cât i persoanele responsabile din fiecare direc ie
monitorizeaz i evalueaz siteul web în mod constant, localizeaz r spunderea în ceea
ce prive te informa iile publicate pe site.
Cu toate c arhitectura websiteul entit ii permite o monitorizare i urm rire a
traficului desf urat pe site, furnizând statistici privind utilizarea portalului, institu ia
nu a formulat, implementat i derulat proceduri formale de evaluare a portalului, din
punct de vedere al gradului de satisfacere a necesit ilor utilizatorilor care s
precizeze: definirea rolurilor i a responsabilit ilor, specificarea sistemului de
monitorizare, stabilirea evalu rilor periodice, stabilirea sistemului de raportare i de
identificare a r spunderii.
Sarcinile privind monitorizarea i evaluarea websiteului aferent componentei e
licita ie au fost alocate dinamic, prin decizii luate adhoc privind definirea rolurilor
i stabilirea responsabilit ilor sau decurg din atribu iile înscrise în fi a postului.
Sunt prev zute facilit i de monitorizare i evaluare pentru serviciile referitoare la
utilizarea supravegherii online, focalizarea pe anumite grupuri, test ri efectuate de
utilizatori, statistici privind siteul web, software de raportare web, mecanisme de
feedback pentru utilizatori).
Nu au fost elaborate i implementate proceduri formale pentru monitorizarea i
evaluarea acestor servicii.
Se aplic metoda supravegherii online, prin intermediul SMTP (Simple Mail
Transfer Protocol) starea se transmite la un server central iar incidentele sunt
tratate.
Activit ile de evaluare i monitorizare sunt realizate în concordan cu principiile de
confiden ialitate. Sunt semnate angajamente de confiden ialitate ale angaja ilor
implica i.
48
Utilizatorul este informat despre categoriile de informa ii colectate, scopul colect
rii informa iei, cine are acces la informa ie i unde va fi memorat . In sec iunea
Termeni i condi ii de pe website sunt precizate astfel de detalii.
In ceea ce prive te siteul web sau f cut urm toarele constat ri:
Informa iile din Home page referitoare la identificarea organiza iei, reflectarea
necesit ilor sau a cerin elor, integrarea unor simboluri care reprezint entitatea
(culori, sigle) sunt relevante.
Navigarea este facilitat de modalit i de reg sire a informa iilor, de localizarea pozi
iei utilizatorului în site la un moment dat.
Sunt implementate func ii adecvate de identificare i c utare a informa iei.
Reg sirea informa iei este focalizat pe utilizator. Con inutul este inteligibil i util
pentru utilizator.
Performan a tehnologic a sistemului, la nivelul operatorului, este asigurat . Cerin
ele minimale pentru utilizatorii externi sunt precizate pe site.
Accesibilitatea este asigurat prin tehnici de reg sire adecvate i prin tehnologii de
asistare a clien ilor pentru utilizarea siteului web (manuale online, help
contextual, helpdesk).
Furnizarea formularelor online în Sistemul elicita ie
A. Importan a formularelor electronice i necesitatea de a adopta strategii i
tehnici pentru managementul acestora
Informa ia con inut în formulare este utilizabil numai dac este înregistrat corect i
poate fi identificat i accesat ori de câte ori este nevoie.
Inregistr rile electronice nu au form "fizic ", pot fi accesate, terse, duplicate,
alterate, f r a l sa urme (în condi iile utiliz rii re elelor i a Internetului), de oriunde
în lume.
Implementarea unui sistem de gestiune a formularelor electronice ridic o serie
de probleme speciale i impune implementarea unui cadru metodologic,
procedural i tehnic aparte, care pune accent, în egal m sur pentru proprietar, i
pentru utilizator, pe urm toarele aspecte:
Autenticitatea înregistr rilor electronice
Implementarea politicilor i procedurilor pentru controlul înregistr rilor electronice;
Implementarea unei structuri de management adecvate pentru asigurarea suportului
(asisten ei) pentru managementul formularelor electronice i pentru monitorizarea
conformit ii cu politicile i procedurile existente;
49
Implementarea unor controale tehnice adecvate pentru protejarea confiden ialit ii,
integrit ii i disponibilit ii informa iilor con inute în înregistr rile electronice;
Implementarea unui management adecvat al înregistr rilor electronice.
Sistemul elicita ie efectueaz o serie de opera iuni care nu furnizeaz dovezi pe
suport de hârtie, informa iile surs sunt ini iate electronic sau generate direct de
sistemul informatic, f r o autorizare specific a tranzac iilor individuale.
Sistemul produce rapoarte pe suport de hârtie care con in numai valori sintetice, în
timp ce detaliile care sus in respectivele valori sunt re inute în fi ierele aplica iei.
Subiectele generice avute în vedere în cadrul misiunii de audit în ceea ce prive te
sistemul de management al documentelor electronice se refer la urm toarele
aspecte:
cerin e legale: privind p strarea înregistr rilor, furnizarea probelor pentru audit, în
format electronic;
aplicarea standardelor i a codurilor de bune practici recunoscute, a metodelor de
management al eviden elor electronice (organizarea p str rii înregistr rilor entit ii),
coroborat cu politici i proceduri adecvate.
Lista informa iilor/formularelor/documentelor aferente componentei elicita ie
con ine toate formularele prev zute de legisla ia în vigoare. IGCTI a participat la
elaborarea normelor specifice SEAP i a formulat propuneri privind utilizarea
formularelor standard UE, pentru a se asigura atât standardizarea i compatibilitatea
cu formatele de prezentare europene cât i facilitarea gener rii unor rapoarte în timp
real c tre Jurnalul Oficial al Uniunii Europene (OJEU) i c tre ANRMAP. Aceste
propuneri au fost aprobate de ANRMAP.
Anun urile pentru care OUG nr. 34/2006 impune obliga ia public rii în Jurnalul
Oficial al Uniunii Europene se redacteaz de c tre autoritatea contactant întro limb
oficial a UE i trebuie s respecte forma adoptat prin Regulamentul Comisiei
Europene nr. 1564/2005, care stabile te formatul standard al anun urilor publicate
în cadrul procedurilor de atribuire prev zute în directivele 17/2004/CE i
18/2004/CE.
Utilizatorul este ghidat în cadrul websiteului pentru a g si informa iile i pentru a
preveni completarea unor informa ii selectate incorect. Sunt furnizate link uri in
paginile principale relevante.
Nu au fost constatate dificult i în ceea ce prive te reg sirea informa iilor pe website
i nici în ceea ce prive te reg sirea informa iilor, formularelor, documentelor sau
raportelor aferente componentei elicitatie.
Integritatea informa iilor, a formularelor online i a documentelor aferente
Sistemului elicita ie este garantat de arhitectura de securitate, prin serviciile de
securitate, care nu permit accesul la informa iile din sistem decât prin
50
autentificarea proprietarului datelor i astfel protejeaz validitatea informa iilor fa de
tentativele de deteriorare.
Informa iile, formularele i documentele online sunt consistente unele cu altele i cu
formularele tip rite. Sunt utilizate acelea i formate i aceea i terminologie pentru
câmpuri.
Formularele online utilizate în Sistemul elicita ie au formatele prev zute de
legisla ia în vigoare armonizate i aliniate la formatele standard UE.
Se respect forma adoptat prin Regulamentul Comisiei Europene nr. 1564/2005,
care stabile te formatul standard al anun urilor publicate în cadrul procedurilor de
atribuire prev zute în directivele 17/2004/CE i 18/2004/CE
Din punctul de vedere al facilit ilor de interac iune, informa iile sunt accesibile
tuturor utilizatorilor, fiind incluse facilit i diverse pentru o aceea i func ie (de
exemplu includerea unor butoane alternative pentru "click", pentru utilizatorii care
nu au mouse, pentru ca ace tia s nu fie exclu i).
Sunt folosite tehnici de tipul listelor de selec ie pentru introducerea unor informa ii
predefinite.
In cadrul complet rii interactive este verificat logica r spunsurilor i se afi eaz
mesaje de avertizare în situa iile în care informa iile introduse nu satisfac condi
iile.
A fost prev zut o facilitate care s permit ca utilizatorii s i exprime opinia în leg tur
cu dificultatea complet rii formularelor online (prin intermediul unui chestionar de
evaluare a reac iilor utilizatorilor, în format electronic).
Asigurarea c informa iile provin de la persoana care lea transmis este dat de
certificatul digital. In plus, aplica ia emite un mesaj care avertizeaz utilizatorul,
înainte de publicarea anun ului, în leg tur cu r spunderea acestuia.
Nu exist riscul ca un formular s poat fi completat de o persoan în numele altei
persoane, acest risc fiind de asemenea prevenit de obligativitatea autentific rii prin
certificat digital. Exist procedur de tratare a situa iilor generate de distrugerea,
pierderea sau furtul calculatorului pe care este înregistrat cerificatul digital, sau de
uitare a parolei.
Dac utilizatorii au probleme cu transmiterea electronic , se propune acestora
transmiterea formularului printr o metod alternativ , care const în accesarea
portalului de pe alt calculator, cu acela i certificat digital.
Confirmarea c formularul completat a fost acceptat în sistem este dat de reg sirea
imediat a acestuia în lista de anun uri publicate (publicarea imediat a acestuia) înso
it de un email de confirmare. Dac formularul nu este completat corect se transmite
un mesaj utilizatorului.
Utilizatorul cunoa te ce pa i vor fi urma i dup transmiterea formularului i care este
timpul de r spuns: anun ul se public imediat în SEAP dac nu este necesar
51
avizul ANRMAP sau se a teapt avizul în termenul stabilit de lege. Dac se dep e te
termenul stabilit de lege, textul din lista afi at pe portal este colorat în ro u (pentru a
se aten iona dep irea de termen).
ANRMAP are component proprie, privat , în SEAP. Se înregistreaz ca orice
utilizator, dar are un meniu propriu, personalizat i drepturi privilegiate.
7.3.3 Navigarea în cadrul portalului elicita ie
Navigarea în cadrul portalului se realizeaz prin linkuri, text i submeniuri, traseul
parcurs poate fi u or identificat, utilizatorul este informat cu privire la pozi ia unde
se afla în cadrul siteului.
Siteul este compatibil cu diferite versiuni de browsere (Internet Explorer, Mozilla,
Opera, Netscape, Firefox), astfel c accesibilitatea nu este restric ionat pentru
anumite categorii de utilizatori.
Utilizatorii pot determina unde se afl în cadrul websiteului, înl n uirea paginilor
fiind logic i având asociat o hart a siteului.
Fiecare pagin are în antet sigla aplica iei, astfel încât acesta s tie în orice moment
unde se afl .
Pentru navigarea în cadrul portalului www.elicitatie.ro este disponibil un cadru de
asistare a utilizatorului (prezentarea structurii, plasarea elementelor de navigare,
ghidare online). Metodele de navigare utilizate în siteul web sunt de tip: icon, link,
text, submenu.
Utilizatorii pot determina care este websiteul pe care se afl la un moment dat: se
afi eaz în cadrul paginii sigla portalului elicitatie i denumirea sistemului. Nu exist
riscul de e ec dac utilizatorul nu intr în website prin pagina "home", ci printrun
link sau prin intermediul unui motor de c utare, de exemplu portalul www.e
guvernare.ro.
Utilizatorii sunt ghida i pentru a putea avansa dup ce au g sit o pagin : la un nivel
mai înalt pentru a avea o privire de ansamblu, la un nivel mai jos pentru a ob ine
detalii, c tre informa ii asociate în website sau în alte websiteuri.
Constatare: Lista nout i nu se reg se te în pagina principal i nici nu este
men ionat în
harta siteului, accesul la aceasta f cânduse printrun artificiu
ne cunoscut
utilizatorului. Lista nout i con ine i leg tura c tre un program
Demo, care este furnizat utilizatorilor pentru a demonstra facilit ile i pentru a
simula func ionarea Sistemului elicita ie în mediu de test.
Recomandare: Includerea facilit ii de accesare din pagina principal a manualului
de prezentare pentru Sistemul elicita ie, a programului Demo i a listei de nout i.
Constatare: Pe portalul elicita ie sunt disponibile informa ii referitoare la modul
de completare sau la pa ii ce trebuie urma i, utilizatorul fiind asistat online. Pentru
52
portalul elicita ie se asigur , de asemenea asisten de tip help desk. Intrun num r
redus de cazuri se folosesc metode de asisten a utilizatorilor sub form de call
center (apel telefonic taxabil).
7.3.4 Arhivarea resurselor web
In cadrul institu iei este stabilit i documentat responsabilitatea p str rii înregistr
rilor siteului web, în condi iile legii. Sunt stabilite prin fi ele de post, atribu ii
pentru autorii de con inut digital, administratorul siteului web, personalul IT,
administratorul de re ea, administratorul datelor.
Constat ri:
(a) A fost implementat un sistem de achizi ie i stocare a înregistr rilor web care s
asigure c resursele web sunt arhivate i accesibile în orice moment. In general,
informa iile se arhiveaz pe suport magnetic, con inutul întregului site web este
arhivat periodic tot pe suport magnetic, iar pe un alt calculator se salveaz o replic a
imaginii întregului site. Datele sunt salvate (tape library) i p strate în formatul
generat de utilizator. Stocarea înregistr rilor web asigur reconstituirea siteului web
ori de câte ori este necesar.
(b) Având în vedere c sistemul de conservare a înregistr rilor este bazat pe
replicare, nu este implementat o tehnologie care s utilizeze metadate (metadatele
reprezint informa ii structurate ata ate resurselor bazate pe web, care permit reg
sirea, gestionarea, controlul i în elegerea înregistr rilor. Acestea reprezint informa ii
descriptive asociate înregistr rilor).
(c) Nu au fost implementate proceduri specifice pentru managementul dependen ei
de infrastructura hardware / software (inclusiv pentru mediile de stocare).
(d) Sa realizat instruirea adecvat a personalului implicat în gestionarea înregistr
rilor electronice.
(e) Nu au fost implementate proceduri formale pentru planificarea în vederea
degrad rii morale a tehnologiilor, utilizarea unor standarde aplicate pe scar larg ,
implementarea m surilor de securitate pentru protejarea înregistr rilor împotriva
alter rii deliberate sau accidentale, asigurarea unui mediu de control i de
monitorizare.
(f) Nu au fost implementate proceduri formale pentru asigurarea accesibilit ii pe
termen lung înregistr rilor bazate pe web,:
managementul înregistr rilor: verificarea i reîmprosp tarea periodic a mediilor de
stocare;
b) planificarea în perspectiva degrad rii morale a tehnologiilor: asigurarea c
înregistr rile pot fi copiate, reformatate sau migrate;
53
c) utilizarea unor standarde aplicate pe scar larg ;
d) implementarea m surilor de securitate pentru protejarea înregistr rilor împotriva
alter rii deliberate sau accidentale;
e) asigurarea unui mediu de control i monitorizare.
Managementul con inutului
Tipurile de con inut gestionate de entitate sunt: text, grafic, multimedia, aplica ii i
alte componente software, con inut tranzac ional pentru generarea dinamic a
paginilor web, fi iere care pot fi desc rcate (.pdf, .rtf, .doc, .xls).
Constat ri:
(a) Au fost efectuate analize (în general analize informale) cu privire la implica
iile pe care le are extinderea proceselor pe siteul web asupra proceselor de
management al con inutului. Nu au fost semnalate probleme legate de
managementul problemelor sau al capacit ii.
(b) Institu ia nu are procesele de management al con inutului, documentate pentru
toate tipurile de con inut web.
(c) Managementul con inutului este focalizat pe stabilirea proceselor de
management al con inutului viabil: utilizabil, corect, actualizat. Aceasta se
realizeaz pe baza unor sarcini de serviciu alocate personalului. Nu se constat
existen a unei politici formale, documentate, însu ite de personalul IT.
(d) Nu au fost implementate formal standarde în ceea ce prive te: confiden
ialitatea, securitatea, accesibilitatea, publicarea pe web, arhivarea, linii
directoare pentru managementul con inutului.
(e) Nu au fost implementate proceduri care s asigure ghidarea în ceea ce prive
te revizuirea con inutului (frecven a revizuirilor, modul de finalizare în condi ii de
performan ).
(f) Cerin ele privind memorarea i arhivarea con inutului pentru a reconstitui
schimb rile versiunilor siteului web i a asigura accesul la versiunile anterioare sunt
satisf cute, în general, prin salvare în ordine cronologic , existând astfel
posibilitatea reconstituirii versiunilor succesive.
(g) Nu a fost documentat un proces de prelucrare a feedbackului primit de la clien
i pe siteul web sau prin intermediul altor servicii electronice.
Cu toate c acest proces nu este documentat, sesiz rile i sugestiile afi ate pe forum
sau primite prin email sunt analizate i rezolvate operativ.
Având în vedere importan a deosebit acordat calit ii serviciilor furnizate i
satisfacerii exigen elor clien ilor, au fost colectate, pe baz de chestionar, opinii cu
privire la sistemul electronic de achizi ii publice.
54
(h) Au fost asigurate condi ii tehnice privind re inerea i disponibilizarea înregistr
rilor pentru a putea fi revizuite periodic, dar nu au fost elaborate în mod formal
proceduri pentru efectuarea acestor opera iuni.
(i) Nu au fost implementate proceduri referitoare la procesele de distrugere a
înregistr rilor programate a fi distruse (distrugere logic pentru mediile care nu pot
fi terse; distrugere fizic pentru medii de memorare de pe care s nu se poat
reconstitui informa ia), inclusiv proceduri care trebuie s specifice num rul de
suprascrieri care se poate face pe un mediu magnetic de memorare pentru a asigura
distrugerea total a înregistr rilor.
(j) Nu au fost implementate proceduri referitoare la prevenirea pierderii
deliberate sau accidentale a înregistr rilor electronice: p strarea integrit ii fi
ierelor prin utilizarea unor medii care nu pot fi terse sau prin intermediul unor
controale specifice care s asigure un înalt nivel de protec ie pentru gestionarea
întregului fond de date electronice: înregistr ri, piste de audit, volume de medii de
memorare.
7.3.6 Riscuri specifice identificate pentru sistemele de management al
documentelor electronice aplicabile la Sistemul elicita ie
Având în vedere orientarea pe ciclul de via al sistemului, riscurile specifice
identificate pentru sistemele de management al documentelor electronice sunt:
I. Riscuri în faza de achizi ie a înregistr rilor: achizi ia incomplet a datelor;
pierderea integrit íi înregistr rilor în faza de achizi ie a acestora; schimbarea
incorect a datelor; falsificarea deliberat a datelor pe parcursul achizi iei datelor
(frauda la intrare); tergerea neautorizat a datelor; difuzarea neautorizat a informa
iilor sensibile.
II. Riscuri de clasificare: clasificare incorect a informa iilor; alterarea neautorizat
a datelor; schimb ri incorecte sau incomplete ale datelor; neînregistrarea schimb
rilor metadatelor; pierderea datelor.
III. Riscuri de utilizare: utilizare incorect a datelor i sistemului; ac iuni
neautorizate asupra datelor i sistemului; ac iuni neadecvate asupra datelor i
sistemului.
Constatare: Nu sa realizat o evaluare a riscurilor specifice sistemelor bazate pe
web, care decurg din: stocarea înregistr rilor, asigurarea accesibilit ii pentru toate
categoriile de utilizatori, cerin ele legislative, securitatea sistemului IT.
55
CAPITOLUL 8 Evaluarea efectelor implement rii i utiliz rii
Sistemului elicita ie în ceea ce prive te modernizarea administra iei
Evaluarea stadiului de dezvoltare, implementare i utilizare a infrastructurilor, a
instrumentelor i tehnologiilor informa iei i comunica iilor pentru furnizarea
serviciului electronic de achizi ii publice elicita ie, pentru institu ii publice i
mediul de afaceri a scos în eviden o serie de aspecte pozitive, care reflect utilitatea
i necesitatea perfec ion rii i extinderii livr rii i utiliz rii serviciului electronic de
achizi ii publice.
Din momentul lans rii i pân în prezent, Sistemul elicita ie a demonstrat c desf
urarea achizi iilor publice prin mijloace electronice poate contribui la cre terea
eficien ei i transparen ei achizi iilor publice. Beneficiile Sistemului Electronic de
Achizi ii Publice pot fi sintetizate astfel:
Simplificarea procedurilor de atribuire a contractelor de achizi ie public ;
Oferirea de metode standardizate de lucru pentru utilizatori;
Accesul cet enilor la informa ii privind procesul de achizi ii publice; Crearea de
mecanisme rapide de auditare a procesului de achizi ie
public ;
Reducerea cheltuielilor bugetare;
Facilitarea particip rii IMMurilor la procedurile de atribuire a contractelor de
achizi ie public ;
Reducerea birocra iei i diminuarea corup iei;
Încurajarea dezvolt rii comer ului electronic în România.
Rezultatele pozitive ale sistemului românesc de achizi ii publice electronice au fost
eviden iate i pe plan interna ional. Sistemul elicita ie a dobândit recunoa tere
interna ional , primind titlul de bun practic la nivel european (Conferin a
European de eGovernment, Como, 2003) i la nivel interna ional (Conferin a
Interna ional e GP, Banca Mondial , Manila, 2004), precum i premiul Golden
Link pentru cea mai inovativ solu ie la sec iunea Ap rare Interna ional sau
Guvernare Civil , acordat de Asocia ia de Comunica ii i Electronic a For elor
Armate (USA, 2005). De asemenea, Sistemul Electronic de Achizi ii Publice a fost
desemnat finalist la concursul eEurope Awards 2005, Manchester (Marea
Britanie).
Percep ia utilizatorilor în leg tur cu complexitatea Sistemului e licita ie este
favorabil , având în vedere maniera prietenoas de accesare i de navigare în
interiorul portalului. Natura problemelor eviden iate pe forumul de discu ii
demonstreaz c nu exist dificult i de utilizare. Cele mai multe dintre probleme se
refer la autentificare i sunt datorate nerespect rii procedurii.
56
Sistemul contribuie la modernizarea metodelor i procedurilor din administra ia
public . Fiind un sistem în timp real, impactul în eventualitatea c acesta nu ar mai fi
disponibil, ar fi semnificativ, dac se are în vedere faptul c în prezent sunt înregistra
i, în sec iunea de anun uri, peste 9000 de utilzatori (majoritatea institu ii publice).
In plus, procedurile în curs de derulare ar trebui reconstituite manual, fapt care ar
induce anomalii în derularea procedurilor de achizi ii publice, întârzieri i pierderi
substan iale.
A fost desf urat o investigare privind clien ii, pentru a stabili: a tept rile privind
utilizarea serviciilor electronice, abord rile preferate privind livrarea serviciilor
electronice, dac serviciile electronice sunt disponibile în general utilizatorilor int ,
satisfac ia oferit de serviciile electronice. Sa constatat o reac ie pozitiv motivat de
faptul c :
livrarea serviciilor electronice elicita ie reflect necesit ile clientului;
sunt respectate cerin ele de calitate a acestui serviciu;
tranzac iile electronice se realizeaz în timp real i
serviciile electronice sunt disponibile i în afara orelor de activitate normal , pentru
confortul utilizatorilor.
Au fost men inute i canalele de livrare a serviciilor tradi ionale (procedura
manual ).
Este respectat politica de acces i pre uri a guvernului (HG nr.1660/ 2006 privind
aprobarea Normelor de aplicare a prevederilor referitoare la atribuirea
contractelor de achizitie publica prin mijloace electronice) . Taxele pentru
utilizatori nu sunt excesive i nu descurajeaz clien ii s opteze pentru utilizarea
serviciilor electronice.
Nu sunt cerin e speciale pentru utilizatori, de a dispune de hardware sau
software specializate pentru a accesa portalul.
Sunt implementate metode suport care s faciliteze utilizarea op iunilor privind
serviciile electronice (help contextual, asisten online, etc.), furnizate pe tot
intervalul în care le sunt necesare clien ilor.
Cet enii, afacerile i alte institu ii publice i entit i guvernamentale au acces simplu, u
or i convenabil din punctul de vedere al costurilor, la serviciile publice, prin
sistemul elicita ie.
Au fost avute în vedere, în permanen , m suri pentru cre terea satisfac iei cet
enilor , acesta fiind obiectivul principal pe toat durata de via a proiectului, ceea ce
a generat schimb ri ale rolului, mentalit ii i atitudinii utilizatorilor. Utilizatorii
doresc extinderea serviciilor electronice oferite de sistemul elicita ie, fiind
receptivi la noile metode.
Pe portalul www.elicitatie.ro sunt afi ate informa ii statistice care reflect în timp
real dinamica utiliz rii sistemului: num rul autorit ilor contractante, num rul
ofertan ilor înregistra i în sistem, num rul anun urilor publicate în sistem,
57
num rul invita iilor la cerere de ofert publicate în sistem, num rul anun urilor
trimise la JOUE, num rul de produse de catalog publicate în sistem, num rul
cererilor de ofert publicate în sistem, num rul cump r rilor directe publicate în
sistem, valoarea total a achizi iilor atribuite in sistem.
Din analiza datelor statistice furnizate pe portalul www.elicitatie.ro , se constat o
cre tere a valorilor indicatorilor de mai sus, începând de la zero, la 3 ianuarie 2007,
când a fost lansat oficial versiunea actual a Sistemului elicita ie. De la aceast dat ,
utilizatorii au început s se înregistreze în noul sistem i s deruleze proceduri de
achizi ii publice prin mijloace electronice.
La data de 15 noiembrie 2007 situa ia era urm toarea:
Num rul autorit ilor contractante înregistrate în sistem: 9029 Num rul ofertan ilor
înregistra i în sistem: 9189
Num rul anun urilor i invita iilor la cerere de ofert publicate în sistem: 148211
Num rul anun urilor trimise la JOUE: 8569
Num rul produselor de catalog publicate în sistem: 24397 Num rul cererilor de
ofert publicate în sistem: 20268
Num rul cump r rilor directe publicate în sistem: 38917
Valoarea total a achizi iilor atribuite în sistem: 115409773 LEI
(Date extrase de pe portalul www.elicitatie.ro: 15 noiembrie 2007)
Principalele efecte remarcate ca urmare a introducerii noii versiuni a Sistemului
elicita ie sunt:
reducerea timpului afectat unor activit i care necesit deplas ri, lucrul cu ghi eul,
întâlniri, discu ii, etc., prin înlocuirea acestora cu proceduri online;
sc derea costurilor achizi iei având în vedere c fluxurile tranzac iilor au fost
optimizate iar taxele pentru utilizatori nu sunt excesive;
cre terea num rului de utilizatori;
cre terea num rului de produse achizi ionate online;
asigurarea confiden ialit ii prin utilizarea procedurilor de încriptare a informa iilor
sensibile;
reducerea timpului de r spuns pentru aviz ri i aprob ri din partea ANRMAP, care
opereaz direct pe portalul www.elicitatie.ro.
asigurarea transparen ei în efectuarea achizi iilor publice i prevenirea corup iei;
sporirea eficien ei administra iei centrale i locale, i asigurarea de sprijin pentru
dezvoltarea industriei i a mediului de afaceri prin atribuirea prin licita ie electronic
a contractelor;
asigurarea interoperabilit ii cu ANRMAP;
asigurarea compatibilit ii cu sistemele similare disponibile în rile europene.
58
Sistemul e licita ie ofer mecanisme de trasabilitate a tranzac iilor , fiind u or de
reconstituit întregul flux al procedurilor de achizi ii publice parcurs de tranzac ie.
Aceste facilit i pot oferi informa ii valoroase i un cadru de analiz în combaterea
fraudelor.
Informa iile afi ate în zona public a sistemului ofer institu iilor publice, mediului de
afaceri i cet enilor, o imagine privind stadiul i derularea procedurilor de achizi ii
publice de interes pentru fiecare categorie.
La aceste facilit i se adaug transmiterea în format electronic a anun urilor autorit
ilor contractante c tre Oficiul pentru Publica iile Oficiale ale Comunit ilor
Europene, în vederea public rii acestora în Jurnalul Oficial al Uniunii Europene
(JOUE). Dobândirea calit ii de OJS eSender a permis operatorului SEAP s
faciliteze autorit ilor contractante publicarea anun urilor
în JOUE exclusiv prin mijloace electronice.
Operatorul SEAP nu are dreptul de a publica anun ul transmis de autoritatea
contractant sau de al transmite spre publicare în Jurnalul Oficial al Uniunii
Europene, f r ob inerea acceptului de publicare emis de c tre ANRMAP.
In cadrul portalului se asigur interoperabilitatea cu ANRMAP, care este un
utilizator privilegiat al sistemului. Operarea direct pe portal de c tre ANRMAP,
reduce substan ial timpul de r spuns în ceea ce prive te aviz rile i aprob rile, i asigur
operativitate în ceea ce prive te publicarea anun urilor în Jurnalul Oficial al Uniunii
Europene (JOUE).
La întâlnirea Public of OJS eSenders meeting – July 2007, organizat de Oficiul
pentru Publica iile Oficiale ale Comunit ilor Europene, privind organizarea i
implementarea colec iilor electronice de anun uri, România a fost plasat pe locul I
cu un procentaj de 99% privind publicarea anun urilor, prin mijloace electronice.
De asemenea, ocup o pozi ie foarte bun în Europa, în ceea ce prive te transmisia
anun urilor în format XML.
In anexa II, este prezentat un set de statistici publicate în cadrul întâlnirii Public of
OJS eSenders meeting – July 2007, care au fost furnizate de ASSI în cadrul
misiunii de audit.
AUDITOR,
SEF SERVICIU,
Claudia Ionescu
59
Anexa I
A. Anun uri
I. Anun uri de inten ie publicate
Denumire contract
Autoritate contractanta
Cod CPV
Denumire CPV
Tip contract
Data publicare
Numar anunt
Utilitati
Cu errata
Inreg/pag
Lista anun urilor de inten ie publicate
Denumire contract
Data publicare
II. Anunturi de participare publicate
Denumire contract
Cod CPV
Denumire CPV
Tip contract
Data publicare
Numar anunt
Tip procedur
Utilit i
Cu errata
Lista anun urilor de participare publicate
Inreg/pag
Denumire contract
Data publicare
Data limita participare
III. Anunturi de atribuire publicate
Denumire contract
Cod CPV
Denumire CPV
Tip contract
Data publicare
Numar anunt
Tip procedur
Utilit i
Cu errata
Lista anun urilor de atribuire publicate
Inreg/pag
Denumire contract
Data publicare
60
IV. Anunturi de concurs (solu ii)
Denumire contract
Cod CPV
Denumire CPV
Numar anunt
Data publicare
Utilit i
Tip procedur
Cu errata
Inreg/pag
Lista anun urilor de concurs publicate
Denumire contract
Data publicare
V. Concesionari
Denumire contract
Cod CPV
Denumire CPV
Tip contract
Data publicare
Numar anunt
Cu errata
Inreg/pag
Lista concesionarilor
Denumire contract
Data publicare
VI. Rezultate concurs de solutii
Denumire contract
Cod CPV
Denumire CPV
Numar anunt
Data publicare
Utilit i
Cu errata
Inreg/pag
Lista rezultatelor pentru concursul de solu ii
Denumire contract
Data publicare
Lista
cereri de
ofert în
desf urare
Lista
B. Proceduri de atribuire cereri de
ofert
I. Cereri de ofert atribuite
Lista
Invita ii de participare Lista cereri de
Cereri de ofert în desf urare Cereri de invita ii de ofert
ofert atribuite Cereri de ofert anulate participare anulate
III. Licita ii electronice procedure offline
Licita ii electronice în desf urare
II. Cump r ri directe
Cump r ri directe în desf urare Cump
r ri directe atribuite Cump r ri directe
neatribuite Proceduri offline în deliberare
61
Proceduri offline atribuite
Lista cump r rilor directe în desf urare Lista
cump r rilor directe atribuite Lista cump r
rilor directe neatribuite
Vizualizare lista licitatii electronice in
desfasurare si cautare si filtrare dupa criterii
de interes
Vizualizare lista proceduri offline in
deliberare cu faza de licitatie electronica si
cautare si filtrare dupa criterii de interes
Vizualizare lista proceduri offline atribuite
cu faza de licitatie electronica si cautare si
filtrare dupa criterii de interes
62
ANEXA II
Statistici publicate în cadrul întâlnirii Public of OJS eSenders meeting – July 2007

Raport de Audit - Audit de Sistem Informatic 01

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Raport de Audit - Audit de Sistem Informatic 01

Încărcat de

Drepturi de autor:

Formate disponibile

SUPERVIZAT

S-ar putea să vă placă și