Acasă / Publicaţii / Hotărîri şi Rapoarte
HOTĂRÎREA nr. 12 din 2 martie 2011 privind Raportul auditului Sistemului Informaţional Integrat Vamal al Serviciului Vamal al Republicii Moldova

Numar din data de 2011-03-02 Nr. cerinte: 2 Nr. recomandari: 53

Curtea de Conturi, în prezenţa dlui T.Baliţchi - directorul general al Serviciului Vamal, dlui A.Gangan - administratorul Î.S. "Vamtehinform", dlui C.Trofăilă - directorul Departamentului venituri şi tehnologii informaţionale al Serviciului Vamal, dnei N.Calenic - şeful Direcţiei management strategic a Serviciului Vamal, dlui M.Raducan - şeful Direcţiei audit intern a Serviciului Vamal, dlui S.Beiu - şef-adjunct al Direcţiei tehnologii informaţionale şi statistică vamală a Serviciului Vamal şi dlui A.Prisacari - şeful Direcţiei finanţele autorităţilor publice a Ministerului Finanţelor, călăuzindu-se de art.2 alin.(1) şi art.4 alin.(1) lit.a) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008[1], a examinat Raportul auditului Sistemului Informaţional Integrat Vamal al Serviciului Vamal al Republicii Moldova. 

Misiunea de audit s-a realizat în conformitate cu prevederile art.28 şi art.31 din Legea nr.261-XVI din 05.12.2008 şi cu Programele activităţii de audit a Curţii de Conturi pe anii 2010 şi 2011, avînd ca scop obţinerea probelor de audit fiabile şi adecvate, întru susţinerea constatărilor şi concluziilor formulate în raportul de audit.

Auditul a fost planificat şi s-a desfăşurat în conformitate cu Standardele de audit ale Curţii de Conturi, ca ghid servind Manualul de audit al tehnologiilor informaţionale, elaborat de Curtea de Conturi în baza Standardelor Internaţionale de Audit.

La efectuarea auditului, domeniul de aplicare a fost evaluarea controalelor generale TI din cadrul Serviciului Vamal şi celor ale sistemului informaţional "Asycuda World" (în continuare - SI "Asycuda World").

Examinînd rezultatele auditului, audiind raportul prezentat şi explicaţiile persoanelor cu funcţii de răspundere prezente în şedinţă, Curtea de Conturi

a constatat:

În scopul optimizării activităţii organelor vamale, măririi eficienţei şi calităţii serviciilor acordate, limitării dependenţei de factorul uman, încasării şi înregistrarii taxelor vamale şi a altor taxe, legate de operaţiunile vamale, a fost iniţiată automatizarea business-proceselor Serviciului Vamal. Astfel, în cadrul Proiectului "Facilitarea Comerţului şi Transportului în Europa de Sud-Est", începînd cu anul 2006, la Serviciul Vamal a fost implementat SI "Asycuda World". Cheltuielile aferente dezvoltării, implementării şi funcţionării SI "Asycuda World", la finele anului 2010, au constituit 9,1 mil. dolari SUA, fiind finanţate din surse externe şi din contul componentei de bază a bugetului de stat.

Fundamentarea creării unei soluţii integre, principiile de bază şi obiectivele acesteia au fost definite în Concepţia Sistemului Informaţional Integrat Vamal (în continuare - SIIV), aprobată prin HG nr.561 din 18.05.2007, sarcina de bază a Serviciului Vamal fiind fructificarea beneficiilor şi oportunităţilor pentru construirea SIIV, cu scopul interconectării tuturor produselor de program, precum şi formării unui sistem informaţional de perspectivă şi organizării aplicării eficiente a acestuia în organele vamale ale Republicii Moldova.

Scopul şi obiectivele de bază ale SIIV sînt:

- asigurarea introducerii tehnologiilor moderne în activitatea organelor vamale pentru perfecţionarea procedurilor de perfectare vamală şi creşterea eficacităţii controlului vamal;

- perfecţionarea organizării schimbului de informaţii cu structurile externe, inclusiv de peste hotare, dezvoltarea colaborării cu aceste structuri în domeniul tehnologiilor informaţionale;

- asigurarea unui sistem unic de securitate a informaţiei organelor vamale ale Republicii Moldova.

O etapă considerabilă de dezvoltare a fost elaborarea a 12 module de către Compania "UTI Systems". Implementarea lor urma să constituie transformarea sistemului informaţional "Asycuda World" în soluţia complexă şi integră spre care a fost orientată dezvoltarea.

Misiunea de audit a relevat unele deficienţe şi riscuri majore, care împiedică atingerea obiectivelor stabilite, după cum urmează:

♦ Nu au fost implementate 2 module importante ("Garanţii" şi "Economist"), care urmau a fi date în exploatare pînă în anul 2008, ceea ce reprezintă un risc în realizarea sarcinilor şi obiectivelor de creare a SIIV.

♦ Nu există instrumente care ar monitoriza şi analiza schimbările operate, astfel încît modificările componentelor SIIV să fie conformate perspectivelor de dezvoltare a sistemului şi a instituţiei în ansamblu.

♦ Insuficienţa controalelor generale şi documentarea slabă a sistemului generează riscul paralizării activităţii acestuia pe o perioadă îndelungată, SV neposedînd suficiente instrumente pentru preîntîmpinarea sau remedierea situaţiilor critice.

♦ Lipsa unei abordări la nivel de management a problemelor de securitate informaţională reprezintă un factor de risc pentru asigurarea confidenţialităţii informaţiei şi securitatea componentelor SIIV.

♦ SIIV funcţionează în regim de suprasolicitare continuă, situaţie amplificată de insuficienţa canalelor de comunicare, ceea ce contribuie la stopări frecvente ale sistemului, probleme de acces şi împiedică aplicarea unui şir de controale, proceduri fireşti de securitate şi aplicaţii suplimentare.

♦ Lipsa unei strategii de dezvoltare a SIIV, limitările în finanţare nu permit o planificare adecvată a capacităţilor, investiţiile efectuîndu-se reieşind din necesităţile curente, nefiind luate în consideraţie perspectivele de dezvoltare.

Asigurarea realizării complete a obiectivelor de creare a SIIV şi înlăturarea deficienţelor urmează a fi privite ca o acţiune complexă, care va lua în consideraţie interdependenţa acestora şi riscurile asociate.

În contextul celor expuse, concluzionăm că Sistemul Informaţional Integrat Vamal este unul de importanţă strategică, neajunsurile căruia pot avea consecinţe de rezonanţă şi pot afecta securitatea economică şi financiară a statului. Stoparea SIIV pe un termen îndelungat poate afecta în mod direct capacitatea Guvernului de percepere a drepturilor de import şi export. 

Întru ameliorarea situaţiei şi excluderea riscurilor majore în funcţionarea sistemului este necesar suportul autorităţilor supreme ale statului în asigurarea finanţării adecvate şi la timp, pentru crearea unei infrastructuri fiabile, securizate şi de perspectivă, întru excluderea situaţiilor de dezastru pe viitor şi pierderilor financiare mult mai importante.

Reieşind din cele expuse, în temeiul art.7 alin.(1) lit.a), art.15 alin.(2) şi alin.(4), art.16 lit.c), art.34 alin.(3) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008, Curtea de Conturi

hotărăşte:

1. Se aprobă Raportul auditului Sistemului Informaţional Integrat Vamal al Republicii Moldova, implementat la Serviciul Vamal, anexat la prezenta hotărîre.

2. Prezenta hotărîre şi Raportul anexat se remit:

2.1. Serviciului Vamal, pentru întreprinderea măsurilor necesare în vederea implementării recomandărilor auditului, expuse în Raport;

2.2. Guvernului Republicii Moldova, pentru întreprinderea unor acţiuni concrete întru susţinerea perspectivelor de dezvoltare, de remediere a neajunsurilor, precum şi pentru prioritizarea alocării de mijloace financiare necesare excluderii oricăror riscuri asociate SIIV, ceea ce ar contribui la eficientizarea administrării vamale, sporirea veniturilor la bugetul de stat şi la asigurarea securităţii economice a statului.

2.3. Comisiei economie, buget şi finanţe a Parlamentului Republicii Moldova, pentru informare şi o posibilă luare de atitudine.

3. Despre măsurile întreprinse pentru executarea subpunctelor 2.1.-2.2. din prezenta hotărîre se va informa Curtea de Conturi în termen de 6 luni.

4. Prezenta hotărîre se publică în Monitorul Oficial al Republicii Moldova în conformitate cu art.34 alin.(7) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008.


[1] M.O., 2008, nr.237-240, art.864.

Recomandari (53)

1. Integrarea modulelor „Economist" şi „Garanţii" elaborate de „UTI SYSTEMS" S.A. în platforma sistemului „Asycuda World", după cum prevede Concepţia Sistemului Informaţional Integrat Vamal.

2. Instruirea corespunzătoare a personalului Î.S. „Vamtehinform" în vederea creării capacităţilor necesare menţinerii adecvate a Sistemului Informaţional Integrat Vamal.

3. Să elaboreze şi să aprobe Strategia de dezvoltare TI, Planul de implementare şi finanţare, conform priorităţilor de dezvoltare pe termen lung şi mediu.

4. Să fie elaborate şi implementate documentele strategice aferente managementului personalului, reieşind din perspectivele de dezvoltare, bunele practici şi constatările de audit.

5. Să fie revizuită, completată, sistematizată şi actualizată documentaţia SIIV. Să fie creată o descriere generală a întregului sistem, modului de gestionare şi interacţiune a părţilor componente şi infrastructurii.

6. Să fie elaborate şi implementate politici privind producerea, aprobarea şi emiterea documentaţiei de sistem, precum şi privind controlul modificărilor la documentele existente.

7. Să fie documentate corespunzător toate activităţile aferente TI. Să fie asigurat accesul la documentaţia tehnică relevantă tuturor utilizatorilor SIIV, conform atribuţiilor de serviciu.

8. Toate modificările, completările şi ajustările SIIV să fie introduse şi testate mai întîi pe serverul de testare. Serverul de testare să fie ajustat pentru a permite testarea eficientă a modificărilor.

9. Să fie elaborată, aprobată şi implementată politica de externalizare a serviciilor TI cu procedurile de rigoare.

10. Prioritar să fie elaborat şi aprobat Regulamentul privind asigurarea securităţii informaţionale, care va constitui parte componentă a oricărui contract de externalizare a serviciilor TI.

11. Să fie revăzute serviciile incluse în contractele de externalizare a serviciilor, astfel încît să nu fie dublate domeniile şi activităţile acestora. Serviciile şi activităţile externalizate să fie divizate în aşa mod, încît să fie minimalizat accesul la domeniile-cheie şi informaţia vulnerabilă.

12. De către Direcţia audit intern, în mod regulat, să fie efectuate audite ale sistemelor informaţionale din dotarea SV. Rapoartele Direcţiei audit intern să fie analizate în cadrul şedinţelor de lucru ale managementului SV, iar recomandările să fie tratate în modul cel mai serios şi implementate în termene cît mai restrînse.

13. Să fie elaborată, aprobată şi implementată politica de securitate TI cu procedurile de rigoare. Toţi utilizatorii SIIV să fie instruiţi întru aplicarea prevederilor ei. Să fie desemnat un comitet (comisie) responsabil de monitorizarea respectării şi de actualizarea periodică a politicii de securitate TI şi procedurilor acesteia.

14. Să fie elaborată, aprobată şi implementată politica de segregare a sarcinilor cu procedurile de rigoare. Să fie revăzute principiile de acordare a drepturilor pentru utilizatorii SIIV, precum şi revăzute listele persoanelor care au acces la funcţii importante din cadrul sistemului.

15. Să fie efectuată o planificare/prioritizare strategică a capacităţilor, în conformitate cu Strategia de dezvoltare TI şi în corelare cu analiza cost-eficienţei. La planificarea capacităţilor să fie luate în consideraţie scalabilitatea sistemului, compatibilitatea cu alte componente, precum şi problemele de întreţinere.

16. Să fie elaborate, aprobate şi implementate proceduri de monitorizare şi analiză a performanţelor. Rezultatele analizelor să fie raportate în mod regulat managementului şi utilizate pentru determinarea şi planificarea necesităţilor şi modului de dezvoltare a componentelor SIIV.

17. Să fie identificate metode de micşorare a numărului stopărilor planificate ale serverelor, prin comasarea acţiunilor de mentenanţă cu ajutorul unei planificări mai bune a realizării sarcinilor. Să fie înlăturate, în măsura posibilităţilor, pricinile ale căror consecinţe sînt lucrările neplanificate, ce pot duce la stopări ale sistemului.

18. Să fie elaborată, aprobată şi implementată procedura de raportare şi management al problemelor/incidentelor. Evenimentele să fie analizate periodic, iar rezultatele - raportate. În baza analizelor efectuate, să fie luate decizii privind acţiunile de înlăturare, necesităţile de ajustare sau instruirea utilizatorilor.

19. Contractele de deservire a echipamentului să fie întocmite reieşind din criticismul componentelor. Din contractele de deservire să fie excluse componentele care nu se utilizează. La planificarea achiziţiilor prioritatea să o constituie procurarea strategică de echipament nou, astfel încît componentele critice să fie la garanţie pe toată perioada de exploatare. La achiziţionare să fie luată în consideraţie posibilitatea internă de deservire, costurile de întreţinere şi cele postgaranţie.

20. Să fie determinate necesităţile de ridicare a calificării pentru domeniile-cheie de deservire şi dezvoltare. Să fie identificate persoanele necesare, pentru fiecare să fie întocmite planuri individuale de instruire şi certificare.

21. Să fie efectuată o analiză completă a componentelor SIIV (hardware, software şi comunicaţii). În baza analizei respective, să fie identificate componentele care vor fi necesare de modificat sau înlocuit în cel mai apropiat timp.

22. Să fie întocmită o schemă completă a reţelei LAN, a celei WAN, a conexiunilor externe şi a reţelelor locale (birourile şi posturile vamale), care să fie actualizată şi revizuită periodic. Să fie ţinută evidenţa tuturor părţilor componente (active şi pasive) ale reţelei, iar introducerea unor părţi noi să fie efectuată numai cu aprobarea oficială a responsabililor din cadrul SV.

23. Să fie elaborate şi aprobate proceduri de analiză a logurilor de reţea, pentru depistarea şi înlăturarea problemelor şi erorilor, asigurare a securităţii, monitorizare a performanţelor şi prevenire a accidentelor.

24. Să fie restricţionată încărcarea iniţială a programelor numai către persoanele specializate. Să fie determinat un set-standard necesar de programe licenţiate sau autorizate, care să fie instalat la posturile de lucru. Procedurile şi delimitările respective să fie documentate. Să fie ţinută evidenţa strictă a softurilor instalate, a licenţelor existente şi datei efectuării lucrărilor. Încărcarea produselor-program să se efectueze în baza unei analize a necesităţilor individuale ale utilizatorilor.

25. Să fie determinate necesităţile de restricţionare a utilizării purtătorilor de informaţie. Să fie elaborate măsuri generale de securitate necesare atenuării riscurilor utilizării purtătorilor de informaţie şi asigurării securităţii informaţionale. Aceste proceduri ar trebui să fie parte a politicii de securitate.

26. Să fie înlăturate neajunsurile protecţiei de mediu prin implementarea unei soluţii complexe şi independente de monitorizare şi înştiinţare pentru protecţia de mediu.

27. Să fie elaborată, aprobată şi implementată o politică fiabilă de parole, care ar corespunde practicilor internaţionale şi cerinţelor de securitate.

28. Să fie revizuite toate conturile utilizatorilor şi concordate cu managementul resurselor umane (pentru utilizatorii eliberaţi, aflaţi în concediu sau în deplasare). Foaia de parcurs a persoanei care se eliberează să fie semnată numai după dezactivarea tuturor conturilor din cadrul sistemelor informaţionale.

29. Să fie înlăturate neajunsurile de acces logic menţionate, reieşind din politica de securitate şi posibilităţile funcţionale ale sistemului.

30. Să fie revizuit modul de acordare a rolurilor în cadrul SIIV. Accesul la funcţiile şi resursele sistemului să fie restricţionat numai către persoanele relevante, care au nevoie de aceste drepturi pentru exercitarea atribuţiilor de serviciu. Rolurile acordate şi drepturile să fie revăzute periodic în baza necesităţilor de serviciu şi a analizei activităţii utilizatorilor respectivi.

31. Să fie identificate toate resursele TI, care necesită protecţie. Pentru fiecare din ele să se determine nivelul necesar de securitate aplicat şi să fie restricţionat accesul pentru asigurarea securităţii adecvate a acestora.

32. Să fie revăzut modul de acordare a drepturilor privilegiate la staţiile de lucru şi în reţea pentru utilizatori. Să fie restricţionaţi utilizatorii (cu excepţia cazurilor de necesitate confirmată) la instalarea sau dezinstalarea aplicaţiilor, modificarea parametrilor de lucru ai sistemului de operare sau ai programelor specializate.

33. Să fie protejate posturile de lucru cu parolă la BIOS şi restricţionată lansarea de pe purtătorii externi de informaţie.

34. Să fie impusă autentificarea prin parolă la sistemul de operare pentru toţi utilizatorii. Să se interzică utilizărea posturilor de lucru străine sau schimbul de parole între utilizatori.

35. Orice lucrări de instalare, dezinstalare, ajustare sau modificarea la staţiile de lucru să fie efectuate numai de personalul specializat. Să fie întocmit jurnalul lucrărilor efectuate pentru fiecare staţie de lucru.

36. Să se implementeze o soluţie centralizată de actualizare a sistemelor de operare pentru toate staţiile de lucru.

37. Să se elimine toate programele-pirat sau de divertisment de la staţiile de lucru şi să se interzică utilizarea acestora.

38. Să se efectueze analiza periodică a jurnalelor de activitate la posturile de lucru şi în reţea, precum şi raportarea incidentelor către conducere cu o periodicitate anumită.

39. Să fie efectuată o analiză comprehensivă a posibilităţii de utilizare a unui program unic de protecţie antivirus la staţiile de lucru, care să corespundă cerinţelor de securitate şi compatibilitate cu produsele-program existente. Să fie monitorizate şi analizate incidentele şi identificate metodele de protecţie complexă şi eliminare a riscurilor (această recomandare trebuie realizată numai după realizarea completă a Recomandărilor nr. 32-38).

40. Să fie efectuată o analiză comprehensivă a posibilităţii de utilizare a unui program de protecţie antivirus pentru servere, compatibil cu sistemele existente şi optimal pentru utilizarea canalelor de comunicare existente. Să fie monitorizate şi analizate incidentele, precum şi identificate metodele de protecţie complexă şi eliminare a riscurilor.

41. În termene cît mai restrînse, să fie elaborate, aprobate şi implementate BCP şi DRP cu procedurile şi documentaţia aferentă. Să se efectueze simularea periodică a situaţiilor de calamităţi şi testarea documentelor respective.

42. În termene optime, să fie identificată, achiziţionată şi implementată o soluţie complexă, integră şi automatizată de efectuare a copiilor de rezervă şi infrastructura de „active în aşteptare" (într-o locaţie diferită), care ar permite recuperarea fără întrerupere a funcţionalităţii depline a sistemului.

43. Să fie elaborate, aprobate şi testate procedurile şi politica de efectuare a copiilor de rezervă. Copiile de rezervă să fie efectuate cu o regularitate planificată, să fie testate şi validate, iar fiecare copie să fie însoţită de o descriere complexă a întregului proces. Să se asigure păstrarea lor, împreună cu documentaţia şi procedurile de recuperare, într-un loc separat şi sigur.

44. Să fie elaborate, aprobate şi implementate procedurile de management al schimbărilor şi de solicitare a modificărilor. Să fie asigurată documentarea şi autorizarea tuturor modificărilor. Să fie implementată şi testată procedura de trecere la versiunea precedentă.

45. Să fie efectuată o analiză a posibilităţilor de excludere a riscurilor asociate cu imprimarea datelor eronate (care nu au trecut validarea şi verificarea de rigoare) pe formularele tipizate. În baza analizei să fie întreprinse măsuri fiabile de excludere a asemenea cazuri.

46. Să fie efectuată o analiză minuţioasă a motivelor modificărilor operate asupra declaraţiilor înregistrate, pentru excluderea sau minimizarea numărului de astfel de cazuri.

47. Să fie monitorizate şi analizate toate cazurile de repartizare manuală şi cazurile de repartizare preferenţială a declaraţiilor unor agenţi economici. Să fie elaborată şi implementată o procedură de gestionare a cazurilor de repartizare manuală. În baza analizei, să fie determinată exact lista posturilor pentru care va fi aplicată repartizarea automatizată. Lista respectivă să fie revăzută periodic de către conducerea SV. Repartizarea manuală să fie limitată doar pentru cazurile excepţionale, aprobate şi documentate corespunzător.

48. Să fie efectuată o analiză completă a cauzelor neutilizării SI „Asycuda World" pentru introducerea datelor de către brokerii vamali. Să fie identificată posibilitatea efectuării ajustărilor pentru înlăturarea posibilelor deficienţe. În urma acestor analize, să fie determinată oportunitatea utilizării numai a SI „Asycuda World" pentru introducerea declaraţiilor vamale.

49. Să fie identificată posibilitatea asigurării accesului colaboratorilor relevanţi la documentaţia tehnică şi la materialele metodologice necesare. Toate criteriile de selectivitate şi algoritmii de calcul să fie supuşi unei testări adecvate înainte de aplicare pe serverul de producţie.

50. Să fie revizuită atribuirea drepturilor de introducere sau modificare a criteriilor de selectivitate către un număr limitat de persoane.

51. Să fie documentat procesul de creare, aplicare, modificare şi anulare a algoritmilor de calcul şi să fie ţinută evidenţa detaliată a acestora.

52. Să fie identificate şi înlăturate motivele existenţei declaraţiilor vamale cu termen expirat de procesare. Să fie implementate posibilităţi de automatizare a înştiinţării SIIV despre existenţa declaraţiilor neprocesate.

53. Listele utilizatorilor care au acces la portal să fie revizuite periodic, pentru a exclude persoanele care nu mai au temei să posede acces. Să fie implementată funcţia de solicitare a modificării periodice a parolei şi să fie monitorizată implementarea acesteia.

Cerinte (2)

2.1. Serviciului Vamal, pentru întreprinderea măsurilor necesare în vederea implementării recomandărilor auditului, expuse în Raport.

2.2. Guvernului Republicii Moldova, pentru întreprinderea unor acţiuni concrete întru susţinerea perspectivelor de dezvoltare, de remediere a neajunsurilor, precum şi pentru prioritizarea alocării de mijloace financiare necesare excluderii oricăror riscuri asociate SIIV, ceea ce ar contribui la eficientizarea administrării vamale, sporirea veniturilor la bugetul de stat şi la asigurarea securităţii economice a statului.