Rinovimi teknologjik i Financave, rrugë për abuzime me taksat e shqiptarëve

0
219

Kompjuterizimi i Tatimeve dhe sistemit të pagesave nuk ka ndalur dot dorën e gjatë të shpërdoruesve të parave publike

 

Ervin Kaduku

 

Në vitin 2013, menjëherë pas marjes së pushtetit nga Rama, u paraqit si një risi shumë e suksesshme modernizimi teknologjik i ish-drejtoreshës së Tatimeve, Brisida Shehaj, që tashmë është shkarkuar nga ky post me urdhër te vetë atij që e emëroi. Por duket se përpunimi dhe ruajtja në mënyrë elektronike e kompjuterike e të dhënave të biznesit shqiptar, të taksave, të ardhurave dhe shpenzimeve buxhetore bëhet në një mënyrë të tillë, që lejon abuzime dhe shpërdorime masive. Kohët e fundit, grupi i auditimit nga Kontrolli i Lartë i Shtetit ka arritur në konkluzionin se Ministria e Financave, megjithë përpjekjet e bëra, nuk ka marrë masa të mjaftueshme rregullatore dhe organizative për garantimin e sistemeve të saj të informacionit. Menaxhimi i elementëve kritikë në sistemet e informacionit, është i papamjaftueshëm dhe i papërshtatshëm. Ndërsa investimet në sistemet e informacionit nuk kanë zgjidhur përfundimisht sigurimin e Vazhdueshmërisë së Biznesit dhe nuk kanë siguruar Rimëkëmbjen nga Katastrofat.

00

Mangësitë

Ministria e Financave rezulton nuk ka strategji për Teknologjinë e Informacionit, duke mos pasqyruar qartë objektiva lidhur me infrastrukturën, burimet e nevojshme, si dhe indikatorë për matjen e objektivave. Mungesa e Planit Strategjik mbart riskun e keqadresimit të burimeve të nevojshme për mbështetjen e veprimtarisë së kësaj ministrie.

Nga auditimi i politikave dhe procedurave IT në MF, u konstatua se Manuali IT i vitit 2015 është i pamiratuar. Drejtoria e Shërbimeve dhe Teknologjisë së Informacionit nuk disponon dokumentacion mbi: Regjistrat/loget e administratorit të rrjetit dhe rezultatet e analizave të logeve; Listën e informacionit të kategorizuar; Politikat dhe procedura referuar çështjeve të konfigurimit në fushën e operacioneve; Planin e sigurisë së ndërtesave ku shtrihet Sistemi Informatik Financiar i Qeverisë; Listën/matricën e aksesit; Listën e artikujve të cilësuar si prioritare për proceset emergjente; Procedurat për Planin e Vazhdueshmërisë së Biznesit dhe Rimëkëmbjes nga Katastrofat dhe procedurat e Testimit; Listën e testeve të kryera për vitin 2015 dhe rezultatet veprimet e ndërmarra.

Mungesa e dokumentacioneve të mësipërme bën që institucioni të mos ketë të identifikuar risqet me efekt negativ në IT dhe veprimet si reagim ndaj kërcënimeve duke i zgjidhur incidentet e ndodhura.

0

Personeli

Nga auditimi mbi menaxhimin e burimeve njerëzore në DPTH për vitin 2015 rezulton se ka pasur luhatje të vazhdueshme në Burimet njerëzore, shoqëruar me vende vakante të strukturës në disa prej pozicioneve të rëndësishme në Drejtori, mbart riskun e përmbushjes së misionit dhe funksioneve kryesore si sigurimi dhe realizimin e shërbimeve operacionale, garantimi i parasë së gatshme për kryerjen e transaksioneve dhe pagesave.

Nga auditimi konstatohet se DPTH, pa marrë në konsideratë natyrën specifike, nuk ka hartuar politika të veçanta për rekrutimin e stafit. Përpjekjet për zhvillimin e kapaciteteve të stafit nëpërmjet trajnimeve në lidhje me sistemet, sigurinë dhe teknologjinë e informacionit gjatë vitit 2015 kanë qenë të pamjaftueshme.

Nga auditimi i menaxhimit të burimeve njerëzore në DSTI për vitin 2015 rezulton se ka pasur luhatje të vazhdueshme në Burimet njerëzore me krijimin e vendeve vakant në disa prej pozicioneve të rëndësishme, zhvillimi i kapaciteteve të stafit nëpërmjet trajnimeve në lidhje me sistemet, sigurinë dhe teknologjinë e informacionit gjatë vitit 2015 kanë qenë të pamjaftueshme.

Ndarja e detyrave në nivel sektorial është e njëjtë, duke treguar formalizëm në hartimin e tyre. Mosmenaxhimi i burimeve njerëzore përbën një risk në plotësimin e misionit të DSTI për sigurimin dhe realizimin e shërbimeve IT për qeverisjen e përgjithshme

 

Rreziku

Nga auditimi i marrëveshjeve të nivelit të shërbimit për vitin 2015 rezulton se në DSTI dhe DPTH nuk ka patur suport mirëmbajtjeje e zhvillimi për disa nga sistemet, ndërsa ministria e Financave nuk ka ndërmarrë asnjë masë ndaj këtij risku. Në regjistrin e risqeve është caktuar si masë për minimizimin e këtij risku zhvillimi i trajnimeve mbi TI. Por, pavarësisht se është caktuar kjo masë, Grupi i auditimit konstaton se DSTI dhe DPTH për vitin 2015 kanë dobësi të theksuara në identifikimin, planifikimin dhe zhvillimin e trajnimeve, duke rritur vështirësinë e mirëmbajtjes së sistemeve

 

Metodat

Nga auditimi i aplikacionit “Sistemi Informatik Financiar të Qeverisë” (SIFQ) të implementuar në Ministrinë e Financave gjatë vitit 2015 rezulton se Drejtoria e Përgjithshme e Tatimeve (Institucion Varësie) ka filluar zbatimin në kushtet reale të punës të sistemit të ri informatik tatimor. Pjesë e këtij procesi është edhe integrimi i këtij sistemi me SIFQ. Gjatë vitit 2015 nga SIFQ është dërguar informacion ditor mbi transaksionet e arkëtimeve të ardhurave tatimore për tu pasqyruar në Sistemin Informatik Tatimor.

Por nga Drejtoria e Përgjithshme e Tatimeve, në drejtim të Drejtorisë së Thesarit, janë dërguar informacione të të dhënave të sistemit C@ST në formë të pjesshme, jo në afat dhe manualisht. Përpjekjet e Ministrisë së Financave si Institucion Qendror administrues i SIFQ për zgjidhjen e problematikave të shfaqura nuk kanë gjetur bashkëpunimin e duhur nga ana e Drejtorisë së Përgjithshme të Tatimeve, duke shkaktuar një impakt konstant negativ në procesin e rakordimit dhe raportimit të treguesve fiskale të Qeverisë për vitin 2015

 

Siguria

Nga auditimi i shkallës së sigurisë së aplikacionit konstaton se Sektori i Sigurisë së Sistemit të Informacionit të Drejtorisë së Shërbimeve dhe e Teknologjisë së Informacionit nuk kryen procesin e monitorimit logimeve për ngjarjet e sigurisë së informacionit në sistemin SIFQ dhe infrastrukturën e tij (databaza Oracle dhe platforma Solaris UNIX), si edhe tek pajisjet e rrjetit (firewall, routers, switches etj). Pa loget dhe rishikimin periodik të logeve të sigurisë, aktivitetet e dyshimta që ndodhin në sistemin SIFQ ose në nivelin e rrjetit mund të kalojnë pa u vënë re.

Nga auditimi i shkallës së aksesit të përdoruesve të jashtëm dhe të brendshëm në aplikacion “Sistemit Informatik Financiar të Qeverisë (SIFQ), sigurisë së tij dhe rëndësinë e informacionit që rrjedh prej tij grupi i auditimit konstaton se nuk ka një plan për ndryshimin e fjalëkalimeve të përdorueseve me të drejta të plota. Mungesa e ndryshimit të kriterit ose standardeve të fjalëkalimeve rrit riskun e zbulimit të fjalëkalimeve dhe vjedhjen e tyre nga individë të paautorizuar, duke përfituar akses në sistemet e informacionit.

 

Katastrofat

Nga auditimi i Planeve për Vazhdueshmërinë e Biznesit dhe Rimëkëmbjes nga Katastrofat rezultoi se Ministria e Financave nuk ka të ndërtuar një strategji të rimëkëmbjes nga katastrofat, si dhe nuk ka plane që përcaktojnë vazhdimësinë e proceseve në rastet e dështimit të qendrës së të dhënave primare (data center) që suportojnë sistemin SIFQ. Momentalisht Ministria e Financave nuk ka qendër të rimëkëmbjen nga katastrofat (DRC) për data centerin primar ku hostohen serverat e sistemit SIFQ dhe infrastrukturën e rrjetit. Ministria nuk disponon dokumentacione as në lidhje me Planet e vazhdueshmërisë së punës (BCP) dhe rimëkëmbjes nga katastrofat (DRC), Procedurat e testimit dhe rezultatet e tyre sidhe veprimet e rekomandimet e ndërmarra. Ky dikaster nuk ka listë të artikujve të vlerësuar prioritare për proceset emergjente.

Nga auditimi u konstatua se Procedura e backup për Sistemet e Informacionit në ministrinë e Financave nuk janë në përputhje me VKM  e gushtit 2013 “Për krijimin dhe funksionimin e sistemeve të ruajtjes së informacionit, vazhdueshmërisë së punës dhe marrëveshjeve të nivelit të shërbimit”, backup tek AKSHI kryhen manualisht vetëm në raste të veçanta.

Nuk u gjetën procedura të testimit të backup. Në Drejtorinë e Përgjithshme të Thesarit mbahen në PC e përdoruesve pa backup parashikime, analiza dhe të dhëna të tjera të rëndësishme në Excel dhe Word. Ky informacion mbart vlerë të shtuar dhe humbja e modifikimi i tyre mbart riskun e gabimeve dhe humbja e të dhënave për menaxhimin e aktivitetit të cash-it.

Nga Auditimi i menaxhimit të risqeve në IT u konstatua se nuk ka marrë masa të mjaftueshme për identifikimin dhe minimizimin e risqeve për:

  1. Qendrën BCC si mekanizëm për vazhdimësinë dhe rikuperimin e Sistemit të Thesarit në raste sulmesh të jashtme apo fatkeqësish natyrore,
  2. Vendndodhja e “datacenterit” në godinën e vjetër të ministrisë dhe ndërprerja e shpeshtë e energjisë elektrike;
  3. Teknologjia e vjetërsuar e serverave ekzistues dhe ulja e performancës së tyre.
  4. Memoria fizike e serverave është e ulët për shkak se janë pajisje të vjetra dhe me parametra të ulët me një jetëgjatësi 7 vjet.
  5. Mos përshtatshmëria e sistemeve ekzistuese për shkak të vjetërsimit të tyre.
  6. Kompleksiteti dhe vështirësia e mirëmbajtjes së sistemeve të reja që implementohen;
  7. Dokumentim i papërshtatshëm i procedurave të TI dhe sistemeve ekzistuese dhe të reja;
  8. Drejtoria e Shërbimeve dhe e Teknologjisë së Informacionit nuk ka një plan se si menaxhohen risqet e lidhura me projektet e investuara ku të përcaktohej, lista e risqeve, detyrat dhe përgjegjësitë për menaxhimin e risqeve.
  9. Ministria e Financave nuk ka marrë masa për minimizimin përditësimi e regjistrit të risqeve.

Nga Auditimi u konstatua se në ministrinë e Financave nuk ekziston një procedurë e dokumentuar e identifikimit, trajtimit dhe raportimit të incidenteve. Mungesa e një procedure të menaxhimit të incidenteve sjell paqartësi dhe mangësi në trajtimin e tyre, njohjen e nivelit të riskut që kërcënime të përcaktuara mbartin për ministrinë, nivelit të impaktit në veprimtarinë e ministrisë, dokumentimin dhe zgjidhjen e tyre, e cila redukton kohën e zgjidhjes, në rast përsëritje të të njëjtit incident, etj.

 

Standardet

Nga Auditimi u konstatua se ambienti fizik i dhomës së rrjetit nuk është në përputhje me standardet e përcaktuara në Rregulloren për ndërtimin e dhomës së serverëve (versioni 1.0, datë 02.12.2008) miratuar nga AKSHI.

 

Amortizimi

Gjatë kësaj periudhe ka patur problematika serioze në sistem edhe për vetë faktin e gjendjes së rënduar të makinerive të sistemit (HË). Kontrata me objekt “Shërbim Suporti AMOFTS (Oracle)” ka paraqitur probleme në zbatimin e saj.

Nga auditimi i procedurës së prokurimit “Krijimi i Sistemit të Informatizuar të Menaxhimit të Dëmshpërblimeve të Ish të Përndjekurve Politikë” për krijimin e Sistemit të Informatizuar të Menaxhimit të Dëmshpërblimit të ish të Përndjekurve Politik dhe MNSH për katër vite rezultoi kontrata është hartuar pa marrë në konsideratë ndryshimin si më poshtë: “MNSH-ja për pajisjet hardëare, aplikacionet, licencat ose kombinimet e tyre duhet të fillojë me njëherë nga momenti i marrjes në dorëzim nga porositësi të pajisjes hardëare, të aplikacionit, licencës apo kombinimit të tyre. Garancia për pajisjet hardëare është me kohë zgjatje minimale 1-vjeçare.” Për rrjedhojë AK ka filluar mirëmbajtjen pasi ka përfunduar garancia e cila ka shërbyer edhe si suport. Konstatohet mosrakordim në kohë i MF me Agjencinë Kombëtare Shoqërisë së Informacionit për kalimin online të shërbimit.

LEAVE A REPLY

Please enter your comment!
Please enter your name here