CURTEA DE CONTURI A ROMÂNIEI

- Sec�ia de Control Financiar Ulterior -

SUPERVIZAT

CONSILIER DE CONTURI,

Prof. univ. dr. �tefan POPA

Divizia I - Controlul contului general de execu�ie a bugetului de stat, datoriei publice, garan�iilor guvernamentale �i a crean�elor

statului; auditul performan�ei �i al sistemelor informatice

AVIZAT, Director

Ec. dr. Ani�oara Fr��il�

RAPORT DE AUDIT

Auditul Sistemului e-licitatie

Misiunea de audit având ca tem� Auditul Sistemului e-licita�ie implementat în Sistemul Electronic Na�ional s-a desf��urat în baza Programului de control financiar �i audit pe anul 2007, aprobat de Plenul Cur�ii de Conturi a României prin Hot�rârea nr. 79 din 20 decembrie 2006.

Sistemul e-licita�ie care func�ioneaz� în cadrul Sistemului Electronic Na�ional �i care constituie obiectul misiunii de audit, furnizeaz� servicii electronice online în domeniul achizi�iilor publice, prin intermediul portalului www.e-licitatie.ro, asigurând, totodat�, transparen�a în îndeplinirea obiectivelor specifice �i prevenirea corup�iei prin mijloace electronice.

Acest serviciu electronic implementeaz� o pia�� virtual� care ofer� un cadru sigur �i eficient prin intermediul c�ruia ofertan�ii �i cump�r�torii se pot întâlni, negocia �i efectua tranzac�ii comerciale pentru achizi�ii publice de bunuri.

Divizia I, Direc�ia 3 Auditul performan�ei �i al sistemelor informatice a efectuat, în perioada 1 ianuarie 2007 – 25 noiembrie 2007, Auditul Sistemului e-licita�ie, care func�ioneaz� în cadrul Sistemului Electronic Na�ional.

2

Capitolul 1. Introducere Dezvoltarea portalului e-guvernare în cadrul Sistemului Electronic National (SEN), conceput ca unic punct de acces la serviciile �i informa�iile institu�iilor administra�iei centrale �i locale, a oferit suportul pentru lansarea �i extinderea livr�rii de servicii electronice c�tre administra�ie, mediul de afaceri �i cet��eni. Prin acest program de anvergur�, Guvernul României î�i propune s� promoveze transparen�a, s� creasc� eficien�a în administra�ie prin reducerea costurilor �i a birocra�iei, s� asigure accesibilitatea larg� la informa�iile �i serviciile publice, indiferent de timp �i de loc, s� previn� �i s� combat� corup�ia prin mijloace electronice.

Prin Legea nr. 161/2003, Inspectoratul General pentru Comunica�ii si Tehnologia Informa�iei (IGCTI) a fost stabilit ca operator la nivel na�ional al proiectelor de guvernare electronic�, respectiv al portalurilor asociate, www.e-guvernare.ro, www.e-licitatie.ro �i www.autorizatiiauto.ro. Prin Ordonan�a de urgen�� nr. 73/2007, atribu�iile specifice în domeniul oper�rii la nivel na�ional a sistemelor informatice ale administra�iei publice centrale, care furnizeaz� servicii publice destinate guvern�rii prin mijloace electronice, se preiau de c�tre Ministerul Comunica�iilor �i Tehnologiei Informa�iei �i se exercit� prin Agen�ia pentru Serviciile Societ��ii Informa�ionale (ASSI), care se înfiin�eaz� ca institu�ie public� cu personalitate juridic� în subordinea Ministerului Comunica�iilor �i Tehnologiei Informa�iei.

În ceea ce prive�te obiectul de activitate, ASSI are ca atribu�ii principale:

a) dezvoltarea �i operarea pentru urm�toarele sisteme:

• Sistemul e-guvernare, • Sistemul electronic de achizi�ii publice, precum �i • Sistemul informatic pentru atribuirea electronic� a autoriza�iilor de

transport interna�ional rutier de marf� �i pentru atribuirea electronic� a traseelor na�ionale din programele de transport prin serviciile regulate jude�ene, interjude�ene limitrofe �i interjude�ene.

b) reglementarea activit��ilor specifice furniz�rii serviciilor de guvernare prin mijloace electronice, în condi�iile legii; c) implementarea, coordonarea �i operarea la nivel na�ional pentru sisteme informatice �i de comunica�ii proprii, în scopul furnizarii serviciilor destinate guvernarii prin mijloace electronice; e) formularea unor propuneri de acte normative pentru îmbun�t��irea cadrului legislativ în domeniul furnizarii de servicii publice prin mijloace electronice �i al serviciilor societ��ii informationale;

3

f) alte atribu�ii care sus�in asigurarea continuit��ii furniz�rii serviciilor, implementarii �i operarii sistemelor informatice ale administra�iei publice, destinate guvernarii prin mijloace electronice.

Implementarea serviciului electronic e-licitatie s-a realizat în conformitate cu Ordonan�a Guvernului num�rul 20/ 2002 privind achizi�iile publice prin licita�ii electronice.

Incepând cu anul 2007, func�ioneaz� o versiune nou� de sistem, impus� de modificarea cadrului legislativ prin intrarea în vigoare a urm�toarelor acte normative:

Ordonan�a nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

Legea nr. 337/2006 pentru aprobarea Ordonan�ei de urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

Hot�rârea Guvernului nr. 925/2006 privind aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de achizi�ie public� din Ordonan�a de urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii

Misiunea de audit care face obiectul prezentului raport a avut în vedere o problematic� vast�, generat� de implementarea noilor tehnologii �i de efectele antrenate de acestea:

a) îmbun�t��irea calit��ii serviciilor publice; b) cre�terea eficien�ei serviciilor publice prin reducerea costurilor �i a birocra�iei; c) promovarea transparen�ei; d) adaptarea serviciilor publice pentru a r�spunde cerin�elor pie�ei; e) informarea prin mijloace electronice cu privire la legisla�ia �i reglement�rile aferente Sistemului e-licita�ie, prin informa�ii proprii portalului sau prin trimiterea la alte surse electronice de informare; f) informarea prin intermediul portalului specializat www.e-licitatie.ro �i asistarea utilizatorilor cu privire la formularele online aferente Sistemului e-licita�ie, precum �i a modalit��ilor de completare a acestora; g) asigurarea accesibilit��ii la informa�iile furnizate de Sistemul e-licita�ie, indiferent de timp �i de loc (sistemul permite accesarea acestor informa�ii �i în afara programului de lucru al personalului de specialitate); h) perfec�ionarea utiliz�rii tehnologiilor web în scopul furniz�rii de informa�ii de calitate, care contribuie la reducerea costurilor administrative �i sociale; i) reducerea costurilor administrative �i sociale în domeniul achizi�iilor publice, prin dezvoltarea unui sistem modern �i eficient, disponibil pentru toate institu�iile publice �i mediul de afaceri.

4

Misiunea de audit care face obiectul prezentului Raport s-a desf��urat în conformitate cu Ghidul Auditului Performan�ei elaborat de Curtea de Conturi a României, pe lâng� acesta fiind luate în considerare �i cerin�ele standardelor interna�ionale de audit acceptate (INTOSAI – International Organization of Supreme Audit Institutions), standardele interna�ionale de audit al sistemelor informatice (COBIT – Control Objectives for Information and related Technology), precum �i ale ghidurilor de bun� practic� elaborate de ISACA (Information Systems Audit and Control Association). De asemenea, s-a �inut seama �i de raportul, orientat pe bune practici în domeniu, E-Procurement and its effect on future audit approach, elaborat de EUROSAI IT Working Group în martie 2004.

Formatul raportului de audit este cel recomandat în Ghidul Auditului Performan�ei al Cur�ii de Conturi a României. Raportul identific� organiza�ia, aria de cuprindere, obiectivele, perioada acoperit� �i natura, planificarea în timp �i aria de acoperire ale activit��ii de auditare efectuate. Raportul declar� constat�rile, concluziile �i recomand�rile, precum �i orice rezerve, calific�ri sau limit�ri ale perspectivei pe care auditorul de sisteme informatice le are în leg�tur� cu auditarea în cauz�. Capitolul 2. Obiectivele �i necesitatea auditului Auditarea serviciilor electronice existente în cadrul Sistemului Electronic Na�ional se desf��oar� în contextul tendin�ei de extindere �i generalizare a acestui tip de servicii pe plan interna�ional, proces care viyeay� asigurarea unor servicii electronice de calitate pentru cet��eni, administra�ie �i mediul de afaceri, precum �i în contextul asigur�rii compatibilit��ii cu administra�iile europene.

Obiectivul general al auditului

Evaluarea stadiului de dezvoltare, implementare �i utilizare a infrastructurilor �i instrumentelor specifice tehnologiei informa�iei �i comunica�iilor în cadrul Sistemului e-licita�ie, pentru furnizarea de servicii electronice în domeniul achizi�iilor publice, pentru institu�ii publice �i mediul de afaceri. Formularea de recomand�ri în scopul acceler�rii extinderii acestui serviciu electronic.

Obiective specifice ale auditului

• Evaluarea portalului asociat Sistemului e-licita�ie (www.e-licitatie.ro); • Evaluarea solu�iilor arhitecturale �i de implementare;

5

• Evaluarea securit��ii sistemului �i a informa�iilor; • Evaluarea managementului continuit��ii sistemului �i al dezvolt�rii; • Evaluarea disponibilit��ii �i accesibilit��ii informa�iilor; • Conformitatea cu legisla�ia; • Analiza riscurilor; • Evaluare stadiului �i a calit��ii instruirii personalului �i a asist�rii

utilizatorilor; • Comunicarea între institu�iile de profil �i cu utilizatorii; • Evaluarea impactului social al utiliz�rii serviciului electronic e-licita�ie; • Conformitatea cu cele mai bune practici în domeniu; • Efectele în planul moderniz�rii serviciilor din administra�ia public�;

Necesitatea efectu�rii auditului are ca motiva�ie determinarea gradului de utilizare a tehnologiei informa�iei �i comunica�iilor (TIC) în furnizarea de servicii electronice c�tre persoane fizice �i juridice, în particular pentru Sistemul electronic e-licita�ie, având în vedere atât extinderea semnificativ� a utiliz�rii acestui serviciu în România, cât �i participarea la schimbul european de informa�ii în format electronic, în domeniul achizi�iilor publice.

Sistemul e-licita�ie este utilizat în prezent pe scar� larg� de peste 8500 de autorit��i contractante �i 9000 de ofertan�i, num�rul de produse de catalog publicate în sistem dep��ind 23265.

Prin utilizarea Sistemului e-licita�ie, institu�iile publice �i companiile prívate din România au posibilitatea procur�rii de bunuri �i servicii prin mijloace electronice la costuri de achizi�ie sc�zute. De asemenea, sistemul furnizeaz�, în timp real, atât informa�ii calitative cât �i indicatori aferen�i dinamicii acestei activit��i, prin includerea unor facilit��i avansate de raportare.

Capitolul 3. Desf��urarea auditului 3.1 Planificarea auditului Elaborarea programului de audit a avut la baz� detalierea obiectivelor abordate în cadrul misiunii de audit, în func�ie de pozi�ia �i rolul actorilor implica�i în cadrul sistemului auditat.

Entit��i auditate. Misiunea de audit având ca tem� Auditul Sistemului e-licita�ie disponibil în Sistemul Electronic Na�ional (SEN) s-a desf��urat la Agen�ia pentru Serviciile Societ��ii Informa�ionale (ASSI), care are ca atribu�ie dezvoltarea �i operarea Sistemului electronic de achizi�ii publice, e-licita�ie.

6

Abordarea auditului. Abordarea general� a auditului s-a bazat pe evaluarea riscurilor. Auditul s-a efectuat pentru întreg ciclul de via�� al sistemului.

Efectuarea auditului s-a desf��urat pe baza programului de audit care a constat în detalierea subiectelor care urmau s� fie tratate pe parcursul misiunii de audit �i s-a concretizat în urm�toarele programe de lucru:

� Program de lucru privind evaluarea controalelor generale IT � Program de lucru privind evaluarea riscurilor IT � Program de lucru privind evaluarea site-ului web �i testarea controalelor IT

specifice Sistemului e-licita�ie, prin interviuri realizate pe baza listei de verificare LV_Controale_IT_Web �i demonstrarea �i testarea aplica�iei func�ionale pe portalul www.e-licitatie.ro

� Program de lucru privind evaluarea riscurilor specifice sistemelor de management al documentelor electronice, prin interviuri realizate pe baza listei de verificare LV_Riscuri_IT_ Web

� Program de lucru pentru evaluarea perimetrului de securitate.

Aprobarea programului de audit. Programul de audit a fost aprobat la nivelul Diviziei I – Controlul contului general de execu�ie a bugetului de stat, datoriei publice, garan�iilor guvernamentale �i a crean�elor statului; auditul performan�ei �i al sistemelor informatice, precum �i la nivelul Sec�iei de Control Financiar Ulterior din cadrul Cur�ii de Conturi a României.

Evaluarea riscurilor. Misiunea de audit a avut ca scop ob�inerea unei asigur�ri rezonabile asupra implement�rii �i func�ion�rii Sistemului e-licita�ie, în conformitate cu prevederile legisla�iei în vigoare (referitoare la SEN �i la achizi�iile publice), cu reglement�rile în domeniu �i cu standardele specifice de securitate, precum �i evaluarea sistemului prin prisma performan�ei privind modernizarea serviciilor publice.

Riscurile detectate pe parcursul misiunii de audit se refer� la dou� categorii de probleme:

a) Riscuri privind planificarea, dezvoltarea �i introducerea serviciilor electronice

Exemple de astfel de riscuri avute în vedere: lipsa unei planific�ri strategice, coordonarea �i managementul calit��ii neadecvate; insatisfac�ia utilizatorilor; ignorarea explor�rii profilului utilizatorilor; neglijarea aspectelor legate de asigurarea calit��ii; lipsa unor evalu�ri privind eficacitatea costurilor; neîndeplinirea atribu�iilor privind crearea cadrului necesar legal �i organiza�ional; implicarea sporadic� �i inconsecvent� în elaborarea �i implementarea reglement�rilor �i standardelor IT �i de securitate; furnizarea neadecvat� a infrastructurii tehnice; dependen�a de companiile IT; lipsa reglement�rii drepturilor privind re�eaua Internet; lipsa unor evalu�ri ale proiectelor raportate la evolu�iile tehnologiilor informa�iei �i comunica�iilor.

7

b) Riscuri în func�ionarea serviciilor electronice Exemple de astfel de riscuri avute în vedere: politici de securitate IT tehnic� �i organiza�ional� neadecvate care afecteaz� integritatea, autenticitatea, confiden�ialitatea �i disponibilitatea informa�iilor, securizarea transferului de date, capabilitatea informa�iilor de a fi auditate, securitatea tranzac�iilor; redundan��, discontinuit��i media �i interoperabilitate neadecvat�.

Evaluarea riscurilor a avut în vedere verificarea urm�toarele categorii de controale generale:

a) utilizarea sistemului IT se realizeaz� în cadrul unei structuri clar definite, conducerea la cel mai înalt nivel este informat� despre activitatea IT �i este receptiv� la schimbare, gestionarea resurselor umane se face eficient, monitorizarea cadrului legislativ �i a contractelor cu principalii furnizori se desf��oar� corespunz�tor, are loc revizuirea func�ionalit��ii, oper�rii �i dezvolt�rilor de componente, astfel încât acestea s� fie în concordan�� cu necesit��ile activit��ii entit��ii �i s� nu expun� entitatea la riscuri nejustificate;

b) accesul neautorizat la datele sau programele critice este prevenit �i controlat, mediul în care opereaz� sistemele este sigur din punct de vedere al confiden�ialit��ii, integrit��ii �i credibilit��ii;

c) aplica�iile sunt disponibile atunci când este nevoie, func�ioneaz� conform cerin�elor, sunt fiabile �i au implementate controale sigure asupra integrit��ii datelor;

d) sunt luate m�surile necesare pentru diminuarea riscului deterior�rii (accidentale sau deliberate) sau a furtului echipamentelor IT, se ac�ioneaz� corespunz�tor pentru reducerea probabilit��ii apari�iei unor defec�iuni majore �i sunt stabilite m�surile necesare pentru ca, în cazul indisponibiliz�rii facilit��ilor de procesare, entitatea s� î�i reia în mod eficient activitatea, într-o perioad� de timp rezonabil�;

e) sistemul este conform cu reglement�rile legale în vigoare.

Documente de lucru. Au fost utilizate chestionare �i liste de verificare elaborate la nivelul Diviziei I – Direc�ia 3 Auditul performan�ei �i al sistemelor informatice. Tehnici de audit. Tehnicile de audit utilizate în cadrul misiunii au inclus:

� Realizarea de interviuri cu persoane cheie implicate în proiect; � Utilizarea chestionarelor / machetelor; � Examinarea unor documenta�ii tehnice, economice de monitorizare �i de

raportare: grafice de implementare, coresponden��, rapoarte interne, situa�ii de raportare, rapoarte de stadiu al proiectului, registre de eviden�� / monitorizare a utiliz�rii serviciului electronic e-licita�ie, contracte, sinteze statistice, metodologii, standarde;

� Inspec�ie în spa�iile din sediul ASSI în care func�ioneaz� Sistemul e-licita�ie;

8

� Participarea la demonstra�ii �i simularea în mediu de test �i în condi�ii reale a procedurilor aferente utiliz�rii Sistemului e-liciatie func�ional pe portalul www.e-licitatie.ro;

� Consultarea unor documenta�ii tehnice; � Examinarea site-ului web al institu�iei.

3.2 Efectuarea auditului Divizia I, Direc�ia 3 Auditul performan�ei �i al sistemelor informatice a efectuat auditul la nivelul ASSI. Auditul a avut în vedere evaluarea sistemului din punctul de vedere al gestion�rii resurselor informatice disponibile (date, aplica�ii, tehnologii, facilit��i, resurse umane, etc.), în scopul atingerii obiectivelor, prin asigurarea eficien�ei, confiden�ialit��ii, integrit��ii, disponibilit��ii, siguran�ei în func�ionare �i conformit��ii cu un cadru comun de referin�� (standarde, bune practici, cadru legislativ, etc.).

Au fost desf��urate interviuri cu urm�toarele persoane implicate în proiect:

Gruia Daniel – Pre�edinte ASSI Marcu Ion – �ef departament Servicii e-guvernare Dumitru Pompilic� – �ef departament Achizi�ii Publice Electronice Lovin Eduard Lucian – Director Direc�ia e-guvernare Simion Silviana – �ef serviciu Suport Autorit��i Contractante Fodor Oana – �ef serviciu Suport Companii D�nescu Petru - �ef serviciu Autoritate de Certificare Calot� �tefan – Administrator baz� de date

Au fost efectuate teste de control �i teste de detaliu, prin examinarea site-urilor web, a documenta�iilor tehnice �i prin evaluarea mediului IT. S-a efectuat o evaluare a riscurilor IT în ceea ce prive�te: dependen�a de IT, resursele �i cuno�tin�ele IT, încrederea în IT, schimb�rile în IT, externalizarea serviciilor IT, focalizarea pe activitate, securitatea informa�iei. De asemenea, s-au verificat controalele IT referitoare la: managementul IT, securitatea fizic� �i controalele de mediu, securitatea informa�iei �i a sistemelor, continuitatea sistemelor, managementul schimb�rii �i dezvoltarea de sistem, auditul intern.

Probele de audit au fost ob�inute utilizând tehnicile de audit men�ionate în Sec�iunea 3.1 Planificarea auditului.

Analiza �i interpretarea rezultatelor

In cadrul misiunii de audit s-a f�cut o evaluare general�, din perspectiv� multidimensional� a cadrului de func�ionare a Sistemului e-licita�ie din cadrul SEN, care s-a fundamentat în special pe evaluarea Sistemului e-licita�ie, �i pe

9

analiza, interpretarea �i sinteza informa�iilor ob�inute în cadrul interviurilor sau colectate prin intermediul chestionarelor �i listelor de verificare.

Elaborarea Raportului de audit

Raportul de audit elaborat de Curtea de Conturi a României include cele mai semnificative aspecte care au rezultat în cadrul misiunii de audit cu privire la stadiul �i evolu�ia implement�rii �i utiliz�rii sistemului electronic de achizi�ii publice (SEAP), func�ional pe portalul www.e-licitatie.ro, �i con�ine constat�ri, concluzii �i recomand�ri referitoare la abordarea problematicii acestui domeniu la nivelul ASSI, prin prisma obiectivelor specifice expuse în Capitolul 2. Capitolul 4. Sistemului e-licita�ie. Cadru de implementare �i func�ionare Potrivit defini�iei formulate în Ordonan�a de urgen�� nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii, Sistemul electronic de achizi�ii publice – SEAP desemneaz� sistemul informatic de utilitate public�, accesibil prin Internet la o adres� dedicat�, utilizat în scopul aplic�rii, prin mijloace electronice, a procedurilor de atribuire.

Operatorul SEAP (al sistemului electronic de achizi�ii publice) este Agen�ia pentru Serviciile Societ��ii Informa�ionale (ASSI). In conformitate cu prevederile Ordonan�ei de urgen�� nr. 34/2006, aceast� institu�ie asigur� autorit��ilor contractante suportul tehnic destinat aplic�rii, prin mijloace electronice, a procedurilor de atribuire. Prin aceea�i hot�râre, Guvernul poate stabili o procedura specific� de acordare a dreptului de a deveni operator al unui astfel de sistem �i altor persoane juridice. Operatorul SEAP are obliga�ia de a pune la dispozi�ia Autorit��ii Na�ionale pentru Reglementarea �i Monitorizarea Achizi�iilor Publice (ANRMAP), rapoartele în format electronic, elaborate pe baza datelor disponibile în SEAP, în scopul asigur�rii informa�iilor necesare cre�rii de baze de date statistice.

Sistemul e-licita�ie lansat în luna martie 2002 a avut ca suport proiectul pilot ini�iat de Ministerul Comunica�iilor �i Tehnologiei Informa�iei în anul 2001.

Arhitectura Sistemului Electronic de Achizi�ii Publice (SEAP), conceput� de c�tre Inspectoratul General pentru Comunica�ii �i Tehnologia Informa�iei (IGCTI), a fost dezvoltat� de un consor�iu format din companii române�ti:

• UTI – securitate, certificat digital, layer de securitate, securitatea comunica�iei

• TotalSoft - dezvoltarea aplica�iilor

10

• Microsoft – software de baz� • HP - echipamente.

Luând în considerare modific�rile implicate la nivelul sectorului public �i al celui privat, determinate de factori cum ar fi schimb�rile la nivelul strategiei guvernamentale/administra�iei publice, al resurselor umane, financiare �i tehnologice, Sistemul e-licita�ie a cunoscut o dezvoltare gradual�.

La sfâr�itul anului 2002, sistemul cuprindea un num�r de 159 autorit��i contractante, 95 de companii private �i 7 categorii de produse. Tipul �i num�rul autorit��ilor contractante �i al produselor tranzac�ionate prin intermediul sistemului e-licita�ie au crescut progresiv �i a oferit utilizatorilor posibilitatea înv���rii func�ionalit��ii sistemului, a test�rii solu�iilor tehnice alese �i adapt�rii acestora reglement�rilor legale �i cerin�elor utilizatorilor.

In cadrul Conferin�ei eGovernment "Transforming Public Services" care a avut loc la Manchester în luna noiembrie 2005, a fost aprobat� o declara�ie ministerial� care, fixeaz� repere �i obiective, inclusiv pentru serviciile de achizi�ii electronice. In perioada 2006-2010 Statele Membre î�i vor concentra eforturile pe crearea condi�iilor optime privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, astfel încât, în anul 2010, cel pu�in 50% dintre serviciile care privesc achizi�iile publice s� se desf��oare prin procedur� electronic�.

Men�ion�m c�, la sfâr�itul anului 2005, în România ponderea în total a achizi�iilor publice derulate prin procedur� electronic� a fost estimat� la 5-7 %.

Constatare: In prezent, totalul achizi�iilor publice nu poate fi calculat în timp real, cu exactitate, din cauza coexisten�ei celor dou� tipuri de proceduri pentru achizi�ii publice: procedura elecronic� �i procedura manual�. Lipsa unei intr�ri unice a informa�iilor provenind din cele dou� surse, privind achizi�iile publice, induce erori de sincronizare �i corelare a informa�iilor respective. Din acest motiv, pe site-ul www.anrmap.ro sunt afi�ate numai rapoarte privind volumul estimat al achizi�iilor publice. Recomandare: Dezvoltarea unui mecanism de preluare continu� a unor informa�ii sintetice din sistemul manual �i corelarea acestora cu informa�iile din SEAP, în scopul elabor�rii unor situa�ii de raportare operative coerente, complete �i corecte.

În anul 2006, Inspectoratul General pentru Comunica�ii �i Tehnologia Informa�iei a implementat o nou� versiune a Sistemului e-licita�ie, care respect� prevederile legale na�ionale în domeniul achizi�iilor publice, armonizate cu reglement�rile legale ale UE (Directivele 2004/17/EC �i 2004/18/EC).

Versiunea extins� a Sistemului e-licita�ie lansat� în luna octombrie 2006 ofer� noi facilit��i tehnice:

• publicarea anun�urilor de inten�ie, de participare �i de atribuire, a invita�iilor de participare, precum �i a documenta�iilor de atribuire;

11

• publicarea celorlalte tipuri de anun�uri: anun�uri de inten�ie utilit��i, anun� de participare utilit��i, anun�uri de atribuire utilit��i, anun� de participare pentru concursul de solu�ii, rezultatul concursului de solu�ii, anun�uri de concesionare;

• aplicarea integral� prin mijloace electronice a procedurii de cerere de ofert� utilizând criteriul de atribuire "pre�ul cel mai sc�zut" �i "oferta cea mai avantajoas� din punct de vedere economic";

• posibilitatea utiliz�rii licita�iei electronice ca faz� final� a unei proceduri de atribuire desf��urate offline sau a unei proceduri de cerere de ofert� online având criteriul de atribuire "pre�ul cel mai sc�zut";

• posibilitatea de a achizi�iona direct, prin intermediul unui catalog electronic, produse sau servicii.

Ordonan�a de urgen�� nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii, prevede obliga�ia operatorului SEAP de a asigura pentru Autoritatea Na�ional� pentru Reglementarea �i Monitorizarea Achizi�iilor Publice (ANRMAP) accesul nerestric�ionat la anun�urile transmise de c�tre autorit��ile contractante, înainte de publicarea acestora.

Autoritatea Na�ional� pentru Reglementarea �i Monitorizarea Achizi�iilor Publice verific� fiecare anun� transmis de c�tre autorit��ile contractante pentru publicare în SEAP, în m�sura în care anun�ul respectiv este în legatur� cu aplicarea procedurii de atribuire a unui contract cu o valoare estimat� mai mare decât pragurile valorice prevazute de lege. În termen de 2 zile lucr�toare de la data primirii anun�ului în SEAP, Autoritatea Na�ional� pentru Reglementarea �i Monitorizarea Achizi�iilor Publice are obliga�ia:

a) fie, s� emit� c�tre operatorul SEAP acceptul de publicare pentru anun�ul respectiv, în cazul în care în urma verific�rii nu se constat� erori/omisiuni de completare;

b) fie, s� resping� publicarea anun�ului, în cazul în care se constat� erori/omisiuni de completare, informand totodat� autoritatea contractant� asupra acestei decizii precum �i asupra modului în care erorile/omisiunile pot fi remediate.

Dup� publicarea anun�ului în SEAP, autoritatea contractant� are obliga�ia de a transmite anun�ul �i c�tre Regia Autonom� Monitorul Oficial al României, spre publicare în Partea a VI-a, Achizi�ii publice.

La aceste facilit��i se adaug� transmiterea în format electronic a anun�urilor autorit��ilor contractante c�tre Oficiul pentru Publica�iile Oficiale ale Comunit��ilor Europene, în vederea public�rii acestora în Jurnalul Oficial al Uniunii Europene (JOUE). Dobândirea calit��ii de OJS eSender a permis operatorului SEAP s� faciliteze autorit��ilor contractante publicarea anun�urilor în JOUE exclusiv prin mijloace electronice.

12

Operatorul SEAP nu are dreptul de a publica anun�ul transmis de autoritatea contractant� sau de a-l transmite spre publicare în Jurnalul Oficial al Uniunii Europene, f�r� ob�inerea acceptului de publicare emis de c�tre Autoritatea Na�ional� pentru Reglementarea �i Monitorizarea Achizi�iilor Publice. În cazul în care, din motive de natur� tehnic� independente de operatorul SEAP, nu este posibil� transmiterea anun�urilor, în format electronic, spre publicare în Jurnalul Oficial al Uniunii Europene, obliga�ia de transmitere a acestora revine Autorit��ii Na�ionale pentru Reglementarea �i Monitorizarea Achizi�iilor Publice.

În perioada urm�toare este prev�zut� implementarea de facilit��i tehnice ce vor permite aplicarea, integral prin mijloace electronice, a procedurilor de licita�ie deschis� �i licita�ie restrâns�, concesiuni �i sistemul de achizi�ie dinamic.

Portalul www.e-licitate.ro pune la dispozi�ia cet��enilor informa�ii cu privire la legisla�ia �i reglement�rile aferente interac�iunii dintre ace�tia �i administra�ia public�, asigur� un punct unic de acces la informa�iile privind achizi�iile publice, furnizeaz� instruc�iuni de completare a documentelor online �i ofer� suportul electronic pentru completarea asistat� a acestora.

Documentele completate online privind achizi�iile publice pot fi semnate electronic conform legisla�iei în vigoare �i trimise prin mijloace electronice.

Portalul www.e-licitate.ro permite utilizare bi-direc�ional� (servicii online), respectiv permite completarea online a formularelor �i asigurarea întregului circuit al documentului f�r� a mai fi nevoie de deplasare sau de utilizarea mijloacelor clasice de transmitere a documentelor.

In cadrul portalului www.e-licitatie.ro care constituie punctul unic de acces la serviciul electronic de achizi�ii publice este asigurat� siguran�a informa�iilor �i a tranzac�iilor.

Garantarea identit��ii utilizatorului �i protejarea informa�iilor confiden�iale transmise pe Internet se realizeaz� prin utilizarea certificatelor digitale. Certificatul digital autentific� identitatea celui care îl folose�te, con�inând informa�ii despre proprietar (de exemplu, numele, adresa de e-mail), data la care certificatul a fost emis, numele autorit��ii de certificare �i cheia public� (Public Key Infrastructure - PKI) pentru criptarea �i decriptarea informa�iei. Prin semnarea documentelor se realizeaz� criptarea informa�iei cu cheia privat� a celui care semneaz�. Semnarea electronic� a documentelor are suport legal.

Certificatele digitale sunt eliberate de c�tre Agen�ia pentru Serviciile Societ��ii Informa�ionale, (fost� Inspectoratul General pentru Comunica�ii �i Tehnologia Informa�iei (IGCTI).

13

Capitolul 5. Evaluarea serviciului electronic e-licita�ie în contextul evolu�iei c�tre e-guvernare Auditarea Sistemului e-licita�ie a fost desf��urat� din perspectiva progreselor c�tre e-guvernare în România, marcate de o serie de ac�iuni absolut necesare într-un astfel de proces. 5.1 Cadru institu�ional �i legislativ La nivel guvernamental au fost întreprinse o serie de ac�iuni cu caracter strategic, sus�inute de legisla�ie:

� înfiin�area grupului de lucru Grupul de Promovare a Tehnologiei Informa�iei în România (HG nr. 271/2001), care are ca obiectiv principal crearea de premise durabile pentru implementarea societ��ii informa�ionale în România;

� elaborarea �i aprobarea Strategiei Guvernului privind informatizarea administra�iei publice (HG nr. 1.007/2001);

� aprobarea Strategiei na�ionale pentru promovarea noii economii �i implementarea societ��ii informa�ionale (HG nr. 1440/2002) în care se subliniaz� faptul c� "trecerea la Societatea Informa�ional� este unul din obiectivele strategice ale Guvernului României pentru perioada 2001 – 2004 �i una dintre condi�iile de preaderare la Uniunea European�".

� înfiin�area Sistemului Electronic Na�ional (SEN), ca sistem informatic de utilitate public�, în scopul asigur�rii accesului la informa�ii publice �i furniz�rii de servicii publice c�tre persoane fizice �i juridice (Titlul II din Legea 161/2003, privind transparen�a în administrarea informa�iilor �i serviciilor publice prin mijloace electronice). In aceea�i lege, a fost stabilit operatorul pentru e-guvernare (Inspectoratul General pentru Comunica�ii �i Tehnologia Informa�iei – IGCTI – aflat în momentul apari�iei legii în subordinea Ministerului Comunica�iilor �i Tehnologiei Informa�iei, �i în prezent în subordinea Primului Ministru)

În perioada 2001-2005, Ministerul Comunica�iilor �i Tehnologiei Informa�iei, organ de specialitate al administra�iei publice centrale în domeniul comunica�iilor �i tehnologiei informa�iei, avînd scopul de a realiza politica Guvernului României în acest domeniu, a elaborat o serie de strategii �i programe, precum:

� Strategia Guvernului României de stimulare �i sus�inere a dezvolt�rii sectorului de comunica�ii în perioada 2002-2012;

� Economia bazat� pe cunoa�tere; � Strategia Guvernului României pentru dezvoltarea sectorului tehnologiei

informa�iei;

14

� Strategia de Dezvoltare Durabil� a României ORIZONT – 2025; � Strategia Na�ional� de Export.

De asemenea, cadrul legislativ a fost extins cu o serie de acte normative privind: semn�tura electronic�, achizi�iile publice prin licita�ii electronice, încasarea prin mijloace electronice a impozitelor �i taxelor locale, comer�ul electronic, atribuirea electronic� �i distribuirea autoriza�iilor de transport rutier interna�ional de marf�, procedura de avizare a instrumentelor de plat� cu acces la distan�� (de tipul aplica�iilor Internet-banking, home-banking sau mobile-banking), m�surile pentru realizarea schimbului de informa�ii în domeniul standardelor �i reglement�rilor tehnice între România �i statele membre UE �i Comisia European�, protec�ia persoanelor cu privire la prelucrarea datelor cu caracter personal.

Ministerul Comunica�iilor �i Tehnologiei Informa�iei, ca organ de specialitate al administra�iei publice centrale exercit� rolul de a realiza politica Guvernului în domeniul comunica�iilor electronice, serviciilor po�tale, tehnologiei informa�iei �i al serviciilor societ��ii informa�ionale, principala func�ie a acestuia fiind aceea de defini obiectivele strategice �i tactice în domeniile men�ionate, asigurând planificarea, elaborarea �i implementarea politicilor, precum �i monitorizarea, evaluarea �i controlul realiz�rii acestor politici.

Cadrul institu�ional de aplicare a Strategiei Guvernului privind Sistemul Electronic Na�ional include toate institu�iile administra�iei publice. Toate administra�iile care activeaz� în spatele ghi�eului (back-office), �i care de�in arhive cu informa�ii necesare atât serviciilor proprii cât �i altor unit��i ale administra�iei publice, vor permite accesul gratuit �i permanent la propriile servicii, al tuturor unit��ilor administrative care activeaz� ca interfa�� (front-office).

In ceea ce prive�te contextul institu�ional în care se plaseaz� Sistemul e-licita�ie, în ultimii trei ani se constat� o dinamic� ridicat� a modific�rilor legislative, care au implicat reorganiz�ri ale IGCTI, prin schimbarea subordon�rii acestei institu�ii sau prin reorganizarea de fond care are loc în prezent, ca urmare a înfiin��rii Agen�iei pentru Serviciile Societ��ii Informa�ionale, institu�ie care a preluat componenta e-guvernare din SEN. Prezent�m în continuare aceste acte normative intrate în vigoare în perioada noiembrie 2004 – noiembrie 2007:

1. Legea nr. 510 din 17 noiembrie 2004 privind reorganizarea Inspectoratului General pentru Comunica�ii �i Tehnologia Informa�iei

2. Hotararea de Guvern nr. 348/2005 privind organizarea �i func�ionarea Inspectoratului General pentru Comunica�ii �i Tehnologia Informa�iei (IGCTI)

3. Ordonan�a de Urgen�� a Guvernului nr. 134/2006 privind înfiin�area Autorit��ii Na�ionale pentru Reglementare în Comunica�ii �i Tehnologia Informa�iei (ANRCTI)

4. Hot�rârea Guvernului nr. 415/2007 privind aprobarea Regulamentului de organizare �i func�ionare a Autorit��ii Na�ionale pentru Reglementare în Comunica�ii �i Tehnologia Informa�iei (ANRCTI)

15

5. Ordonan�a de Urgen�� a Guvernului nr. 25/2007 privind stabilirea unor m�suri pentru reorganizarea aparatului de lucru al Guvernului, cu modific�rile complet�rile ulterioare.

6. Ordonan�a de Urgen�� a Guvernului nr. 73/2007 privind organizarea �i func�ionarea Agen�iei pentru Serviciile Societ��ii Informa�ionale

In ceea ce prive�te legisla�ia privind achizi�iile publice, în perioada 2006 – 2007, aceasta a fost foarte consistent�, antrenând modific�ri de fond ale sistemului informatic care sus�ine Sistemul e-licita�ie. Men�ion�m actele normative intrate în vigoare în perioada 2006 – 2007:

1. Ordonan�a de Urgen�� nr. 34 din 19 aprilie 2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucrari publice �i a contractelor de concesiune de servicii.

2. Legea nr. 337 din 17 iulie 2006 pentru aprobarea Ordonan�ei de urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

3. Hot�rârea Guvernului nr. 925 din 19 iulie 2006 pentru aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de achizi�ie public� din Ordonan�a de urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

4. Hot�rârea Guvernului nr. 1660 din 22 noiembrie 2006 pentru aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de achizi�ie public� prin mijloace electronice din Ordonan�a de urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

5. Hot�rârea Guvernului nr. 1337 din 27 septembrie 2006 privind completarea Hot�rârii Guvernului nr. 925/2006 pentru aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de achizi�ie public� din Ordonan�a de Urgen�� a Guvernului nr. 34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

6. Hot�rârea Guvernului nr. 782 din 14 iunie 2006 pentru aprobarea Regulamentului de organizare �i func�ionare al Consiliului Na�ional de Solu�ionare a Contesta�iilor.

7. Hot�rârea Guvernului nr. 71/2007 pentru aprobarea normelor de aplicare a prevederilor referitoare la atribuirea contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii din Ordonan�a de Urgen�� a Guvernului nr. 34/2006

8. Ordonan�a de Urgen�� a Guvernului nr. 30 din 12 aprilie 2006 privind func�ia de verificare a aspectelor procedurale aferente procesului de atribuire a contractelor de achizi�ie public�.

9. Hot�rârea Guvernului nr. 942/2006 pentru aprobarea Normelor de aplicare a Ordonan�ei de Urgen�� a Guvernului nr. 30/2006 privind func�ia de verificare a aspectelor procedurale aferente procesului de atribuire a contractelor de achizi�ie public�.

10. Ordinul nr. 26/29.01.2007 pentru aprobarea Regulamentului privind supravegherea modului de atribuire a contractelor de achizi�ie public�.

11. Ordinul nr. 183 din 3 noiembrie 2006 privind aplicarea dispozi�iilor referitoare la contractul de publicitate media.

12. Ordinul nr. 155/2006 privind aprobarea Ghidului pentru atribuirea contractelor de achizi�ie public�.

13. Ordonan�a de Urgen�� nr. 94 din 26 septembrie 2007 - pentru modificarea �i completarea Ordonan�ei de Urgen�� a Guvernului nr.34/2006 privind atribuirea contractelor de achizi�ie public�, a contractelor de concesiune de lucr�ri publice �i a contractelor de concesiune de servicii.

16

Anumite categorii de informa�ii furnizate de Sistemul Electronic pentru Achizi�ii Publice (SEAP) sunt prelucrate, în vederea aviz�rii, public�rii �i monitoriz�rii, de c�tre Autoritatea Na�ional� pentru Reglementarea �i Monitorizarea Achizi�iilor Publice (ANRMAP), înfiin�at� în anul 2005. Activitatea acestei autorit��i na�ionale este reglementat� în urm�toarele acte normative:

1. Ordonan�a de Urgen�� nr. 74 din 29 iunie 2005 privind înfiin�area Autorit��ii Na�ionale pentru Reglementarea �i Monitorizarea Achizi�iilor Publice.

2. Hot�rârea Guvernului nr. 895 din 4 august 2005 privind organizarea �i func�ionarea Autorit��ii Na�ionale pentru Reglementarea �i Monitorizarea Achizi�iilor Publice.

3. Hot�rârea Guvernului nr. 525/30.05.2007 privind organizarea si functionarea ANRMAP

5.2 Direc�ii de evaluare Sistemul e-licita�ie reprezint� o component� important� a moderniz�rii extensive a administra�iei, prin care se lanseaz� re-ingineria proceselor de afaceri aferente achizi�iilor publice, în scopul simplific�rii structurilor �i procedurilor administrative, prin trecerea de la sistemele bazate pe hârtie la sisteme de lucru f�r� hârtie. Absen�a documenta�iei pe hârtie accentueaz� necesitatea implement�rii unor controale IT mai puternice (controale generale �i controale programate în sistemele utilizatorului) precum �i a unor controale manuale stricte în mediul în care func�ioneaz� sistemul utilizatorului.

Serviciile electronice au asociate elemente de risc deoarece informa�ia înscris� pe documentul de hârtie tradi�ional este înlocuit� cu informa�ie digital�, care poate fi u�or copiat�, modificat�, �tears�, etc., f�r� s� lase urme trasabile. De aceea, pentru acest tip de sisteme, se acord� o importan�� deosebit� securit��ii mediului în care func�ioneaz� sistemul �i cuno�tin�elor personalului care administreaz� sau utilizeaz� sistemul.

O aten�ie deosebit� trebuie acordat� evalu�rii controalelor care asigur� conformitatea tranzac�iilor electronice cu cerin�ele asupra informa�iei (autenticitate, integritate, confiden�ialitate, non-repudiere) �i siguran�a în ceea ce prive�te: completitudinea, acurate�ea, validarea/aprobarea, furnizarea la timp.

Direc�iile de evaluare avute în vedere în cadrul misiunii de audit au fost:

1. Conducere �i organizare 2. Finan�are 3. Personal 4. Preg�tirea clientului �i accesibilitate 5. Protec�ia informa�iilor �i confiden�ialitatea 6. Securitatea sistemului 7. Managementul tehnologiei �i al informa�iei 8. Audit intern

17

Constat�rile �i concluziile privind aceste direc�ii de evaluare sunt expuse în sec�iunile urm�toare. 5.2.1 Conducere �i organizare

Prin Ordonan�a de Urgen�� a Guvernului nr. 73/2007, Agen�ia pentru Serviciile Societ��ii Informationale se organizeaz� �i func�ioneaz� ca institu�ie public� cu personalitate juridic� în subordinea Ministerului Comunica�iilor �i Tehnologiei Informa�iei, în scopul implement�rii �i oper�rii la nivel na�ional a sistemelor informatice ale administra�iei publice centrale care furnizeaz� servicii publice destinate guvern�rii prin mijloace electronice.

In data de 25 octombrie 2007, a fost încheiat Protocolul de predare – preluare între Autoritatea Na�ional� pentru Reglementare în Comunica�ii �i Tehnologia Informa�iei (care avea în subordine Inspectoratul General pentru Comunica�ii �i Tehnologia Informa�iei), �i Agen�ia pentru Serviciile Societ��ii Informa�ionale.

In cadrul discu�iilor desf��urate în perioada misiunii de audit, conducerea actual�, reprezentat� de domnul Daniel Gruia, pre�edintele ASSI, a prezentat viziunea noii institu�ii �i a asigurat condi�iile pentru buna desf��urare a auditului. Pre�edintele ASSI �i-a manifestat disponibilitatea de a continua, de a perfec�iona �i de a extinde serviciile electronice de tip e-guvernare în scopul cre�terii performan�ei în administra�ia public� �i al cre�terii confortului cet��enilor, precum �i de a implementa un cadru de interoperabilitate eficient în administra�ia public�. In ceea ce prive�te Sistemul e-licita�ie, acesta trebuie s� se sus�in� din punct de vedere financiar �i s� fie capabil s�-�i recupereze costurile (de dezvoltare, de mentenan��, indirecte). Sunt necesare ac�iuni de promovare continu� a serviciilor electronice e-licita�ie, prin seminarii, anun�uri pe portal, campanie de marketing �i de instruire a utilizatorilor. Extinderea serviciilor electronice astfel încât în anul 2010, cel pu�in 50% dintre serviciile care privesc achizi�iile publice s� se desf��oare prin procedur� electronic� (anun�uri �i tranzac�ii propriu-zise), reper stabilit printr-o declara�ie ministerial�, în cadrul Conferin�ei eGovernment "Transforming Public Services" care a avut loc la Manchester în luna noiembrie 2005, constituie un obiectiv important urm�rit de conducerea ASSI. In acest sens, o ac�iune absolut necesar� care s� sus�in� acest obiectiv este asumarea de c�tre Guvernul României, printr-un act normativ, a Declara�iei de la Manchester. Având în vedere particularit��ile sistemelor de tip e-guvernare, riscurile la care sunt expuse, precum �i deficien�ele constatate în cadrul misiunii de audit în ceea ce prive�te cadrul procedural, conducerea ASSI �i-a manifestat inten�ia de a se implica în dezvoltarea �i asigurarea unui sistem eficient de controale interne IT (politici, strategii, linii directoare, proceduri) care va fi implementat în perioada urm�toare.

18

Constatare: Se constat� c� nu exist� o Strategie IT proprie �i un cadru procedural asociat, precum �i lipsa unui sistem de monitorizare �i control, ceea ce genereaz� dificultatea de a m�sura �i de a evalua rezultatele. Nu a fost stabilit un cadru de referin�� formal pentru evaluarea performan�ei.

Recomandare: Reevaluarea stadiului implement�rii Sistemului e-licita�ie din cadrul sistemului e-guvernare pe baza unei analize de risc asupra domeniului �i elaborarea unei strategii IT la nivelul ASSI pentru programele �i proiectele aferente, precum �i definirea unui cadru unitar care s� asigure planificarea, elaborarea �i implementarea politicilor în domeniul furniz�rii serviciilor electronice e-licita�ie, precum �i, monitorizarea, evaluarea �i controlul realiz�rii acestor politici. 5.2.2 Finan�are

Prin protocolul de predare – preluare între Autoritatea Na�ional� pentru Reglementare în Comunica�ii �i Tehnologia Informa�ii �i Agen�ia pentru Serviciile Societ��ii Informa�ionale. In acest context au fost preluate fondurile aferente fostului IGCTI, personalul necesar pentru asigurarea continuit��ii furniz�rii serviciilor, implement�rii �i oper�rii sistemelor informatice ale administra�iei publice ce furnizeaz� servicii destinate guvern�rii prin mijloace electronice, infrastructura necesar� oper�rii la nivel na�ional a sistemelor informatice ale administra�iei publice centrale, ce furnizeaz� servicii publice destinate guvern�rii prin mijloace electronice. Conducerea ASSI apreciaz� c� în prezent finan�area este acoperit�, dar este supus� riscurilor care decurg din extinderea num�rului de servicii cu valoare ad�ugat� �i din încas�ri reduse.

Neaplicarea unei viziuni integratoare la nivel guvernamental, constituie motivul suprapunerii unor proiecte având acela�i domeniu de aplica�ie, ceea ce are drept consecin�� alocarea �i cheltuirea ineficient� a fondurilor sau lipsa unor servicii care s� acopere cerin�ele clien�ilor. Lipsa unei coordon�ri unitare, lipsa unui cadru comun de cooperare �i interoperabilitate conduce la multiplicarea finan��rilor �i la sc�derea semnificativ� a eficien�ei utiliz�rii fondurilor. Este necesar� o analiz� global� a finan��rilor la nivelul administra�iei publice centrale pentru a depista dezvolt�rile aceluia�i tip de proiect efectuate în paralel de c�tre instu�iile (MEF, MIRA, MMES, CNAS, CNPAS) generate de

ASSI î�i propune ca obiective crearea unui cadru adecvat pentru men�inerea controlului implement�rii proiectelor, orientarea finan��rilor c�tre proiecte dezvoltate de ASSI, crearea unui cadru de reglementare �i cooperarea în vederea asigur�rii interoperabilit��ii, dezvoltarea serviciilor electronice pe direc�iile prev�zute de Legea nr. 161/2003.

19

5.2.3 Personal

Asigurarea c� personalul are cuno�tin�ele �i abilit��ile necesare �i c� este utilizat eficient, constituie elementul cheie pentru succesul extinderii implement�rii �i utiliz�rii noilor tehnologii furnizate de Sistemule-licitatie.

Constat�ri: In cadrul ASSI, competen�ele cerute pentru un astfel de mediu de operare sunt stabilite �i definite. In general, personalul î�i cunoa�te rolurile �i responsabilit��ile �i are suficient� autoritate pentru a le îndeplini. Competen�ele includ: achizi�ionarea tehnologiei, managementul schimb�rii, negocierea �i managementul contractelor, managementul aptitudinilor de nivel înalt al contractorilor/consultan�ilor în IT �i Comunica�ii, securitatea sistemului, managementul proiectului, managementul riscului, managementul rela�iilor/asocierilor �i perfec�ionarea implement�rii sistemului, operarea �i administrarea sistemului. In cadrul restructur�rii care urmeaz� s� aib� loc, noua conducere inten�ioneaz� includerea unor noi competen�e în cadrul ASSI: auditul sistemelor IT, auditul securit��ii, managementul proiectelor, analiza de procese de afaceri, arhitectur� aplica�ii, arhitectur� date, care vor trebui s� fie consistente cu obiectivele noii institu�ii, cu viziunea �i cu noile abord�ri ale noii conduceri.

Cerin�ele legate de personalul specializat care asigur� administrarea, între�inerea �i utilizarea sistemelor, necesit� o evaluare regulat� pentru a se asigura c� este alocat un num�r suficient de personal cu competen�e privind mediul de operare. Constatare: Nu exist� planuri de instruire pe termen lung având ca obiectiv promovarea unei performan�e ridicate. Având în vedere dinamica domeniului se impune asigurarea instruirii continue pentru a ob�ine �i a men�ine aptitudinile necesare.

Pentru a atrage �i pentru a p�stra personalul �i pentru a promova o performan�� ridicat� este necesar� men�inerea unei politici de stimulare adecvate.

Recomandare: Având în vedere specificul serviciilor online �i evolu�iile rapide în domeniul tehnologiilor informa�iei �i comunica�iilor, este necesar� implementarea unei politici de motivare �i men�inere a personalului cu experien�� în administrarea �i operarea sistemelor informatice, atragerea unor resurse umane competente �i responsabile, actualizarea cuno�tin�elor din acest domeniu prin includerea în planul de instruire a unor cursuri dedicate profilului special al sistemului e-licita�ie.

5.2.4 Preg�tirea clientului �i accesibilitate

Implementarea Sistemului e-licitatie ofer� o alternativ� la modul clasic de interac�iune, institu�iilor publice �i mediului de afaceri, în sensul c� se ofer� posibilitatea de a alege pot alege unde �i când s� acceseze serviciile publice care le sunt destinate. Din ce în ce mai mult, oamenii doresc s� acceseze serviciile publice

20

aici �i acum. Costul dezvolt�rii serviciilor on line este modest în compara�ie cu al altor canale de distribu�ie.

Ratele de eroare pentru procesarea electronic� a formularelor sunt semnificativ sc�zute fa�� de proces�rile bazate de hârtie. Calculatorul poate verifica modul de completare al unui formular �i poate da îndrum�ri, r�spunde la întreb�ri, �i chiar avertiza utilizatorul s� completeze toate câmpurile obligatorii din formular.

Constatare: Gradul de utilizare a serviciilor electronice este determinat de preg�tirea beneficiarilor Sistemului e-licita�ie, de dotarea tehnic� �i de abilit��ile utilizatorilor, de nivelul de instruire al acestora, precum �i de încrederea acestora în sistemele IT. De aceea, o latur� important� în crearea cadrului de implementare a noilor tehnologii o constituie preg�tirea utilizatorilor pentru un astfel de demers. Un factor care influen�eaz� negativ receptivitate fa�� de noile tehnologii îl constituie preg�tirea neuniform� a utilizatorilor pentru a utiliza tehnologia informa�iei �i faptul c� ace�tia nu con�tientizeaz� beneficiile pe care aceasta le aduce. Utilizatorii nu au înc� suficient� încredere în securitatea pe care o ofer� sistemele de comunica�ii �i solu�iile informatice, în general.

In vederea lans�rii noii versiuni a Sistemului e-licita�ie, în perioada 11-21decembrie 2006 au fost organizate instruiri pentru aproximativ 900 de utilizatori �i pentru ANRMAP. In anul 2007, au mai fost instrui�i, la cerere, aproximativ 300 de utilizatori. Participan�ii au fost autorit��i contractante sau companii ofertante. Instruirile s-au desf��urat atât la sediul IGCTI cât �i la sediul beneficiarilor. Procedura de înscriere a fost de tip online: anun� pe site, utilizarea unui cont pentru înscrieri, ob�inerea listei de participan�i (separat� pentru autorit��i contractante de cea pentru companii ofertante), programare instruire. Recomandare: Este necesar� desf��urarea continu� a unor ac�iuni pentru informarea, con�tientizarea �i instruirea utilizatorilor pentru ca ace�tia s� devin� utilizatori competen�i ai Sistemului e-licita�ie.

Constatare: In etapa de proiectare a func�iilor aferente Sistemului e-licita�ie au fost analizate �i evaluate preg�tirea clien�ilor, cerin�ele acestora pentru servicii electronice, �i modul cum vor beneficia ace�tia de ele. Serviciile electronice sunt disponibile tuturor utilizatorilor care se a�teapt� s� le utilizeze. Sistemul este u�or de utilizat, este asigurat� asisten�� tehnic� online pentru utilizatori �i ace�tia sunt încuraja�i s� utilizeze Internetul �i tehnologiile asociate.

Cu toate c� num�rul clien�ilor care cunosc serviciul electronic e-licita�ie disponibil este semnificativ, exist� un num�r mare de institu�ii publice care utilizeaz� procedura manual�. Având în vedere c� ASSI nu cunoa�te num�rul exact al institu�iilor publice din România, cu toate c� s-au f�cut demersuri în acest sens, nu se poate preciza num�rul beneficiarilor poten�iali care în prezent nu utilizeaz� SEAP.

21

Recomandare: Sunt necesare ac�iuni concertate �i consecvente pentru dezvoltarea culturii informatice, pentru instruirea beneficiarilor actuali �i poten�iali pentru a le asigura accesul la noua tehnologie, precum �i pentru dezvoltarea încrederii în Sistemul e-licita�ie, în asigurarea securit��ii tranzac�iilor �i în protec�ia datelor.

5.2.5 Protec�ia informa�iilor �i confiden�ialitatea

Constatare: A fost creat cadrul legislativ în ceea ce prive�te protec�ia datelor cu caracter personal, asigurarea accesibilit��ii, disemin�rii �i a modului de conservare a informa�iilor publice în scopul cre�terii încrederii în SEN. Asigurarea protec�iei informa�iilor �i confiden�ialitatea presupun, de asemenea, existen�a unui cadru de monitorizare a modului în care informa�ia este gestionat� pentru a fi conform� cu legisla�ia �i cu standardele implementate.

Informa�iile gestionate în cadrul Sistemului e-licita�ie, cu excep�ia informa�iilor privind pre�urile, sunt în cea mai mare parte informa�ii publice �i sunt publicate pe site-ul web. Având în vedere specificul �i extinderea sistemului, precum �i încrederea pe care utilizatorii trebuie s� o aib� în Sistemul e-licita�ie, în caz de fraud�, reputa�ia entit��ii ar fi puternic afectat�, iar sistemul ar fi compromis. Motiva�ia pentru fraud� este indus� de însu�i obiectivul principal al sistemului, efectuarea achizi�iilor publice, fa�� de care se pot manifesta interese (uneori foarte mari) din partea competitorilor. Informa�ia privind pre�urile, care este cea mai sensibil�, are asignat un nivel de protec�ie ridicat, în concordan�� cu restric�iile de divulgare sau de senzitivitate a acestora. Aceast� informa�ie este încriptat� �i nu este accesibil� sub nici o form� utilizatorilor neautoriza�i.

Nu este definit� custodia datelor pentru orice informa�ie care ar putea fi divulgat�, transmis� sau primit� de la o ter�� parte. Restric�iile asupra divulg�rii informa�iilor sunt agreate formal de c�tre personal �i de ter�ii care au acces la informa�ii confiden�iale.

Nu exist� date cu caracter personal gestionate de sistemul e-licita�ie.

Recomand�ri: (a)- Evaluarea sistemului de securitate a informa�iilor, de protec�ie a datelor, de asigurare a accesibilit��ii, disemin�rii �i a modului de conservare a informa�iilor publice �i impunerea de m�suri pentru perfec�ionarea acestuia. (b)- Elaborarea unor linii directoare pentru asistarea institu�iilor publice, pentru a permite partajarea informa�iilor în scopul livr�rii unor servicii de calitate. (c)- Con�tientizarea beneficiarilor serviciilor electronice în leg�tur� cu politica privind protec�ia informa�iilor/ confiden�ialitatea, �i cu faptul c� aceasta este consistent� cu cerin�ele legislative �i asigur� utilizarea informa�iilor personale într-un mod transparent.

22

(d)- Stabilirea unei metodologii de clasificare a informa�iilor �i de protejare a informa�iilor senzitive pentru a preveni divulgarea sau accesul neautorizat la acestea. Evaluarea politicilor de men�inere a înregistr�rilor �i de utilizare a acestora �i a conformit��ii cu cerin�ele legisla�iei în vigoare. (e)- Monitorizarea regulat� a utiliz�rii informa�iei pentru a asigura conformitatea cu politicile �i cerin�ele legislative. (f)- Stabilirea sanc�iunilor adecvate pentru violarea confiden�ialit��ii, în vederea cre�terii interesului public în ceea ce prive�te adecvarea protec�iei propriet��ii / confiden�ialit��ii la cerin�ele beneficiarilor serviciilor electronice, pentru a îmbun�t��i percep�ia public� asupra e�ecului datorat nerespect�rii sarcinilor legate de protec�ia informa�iilor / confiden�ialitate. (g)- Publicarea pe web a politicii privind protec�ia informa�iilor / confiden�ialitatea într-o manier� accesibil�, u�or de g�sit, �i a mecanismelor de utilizare a informa�iei.

5.2.6 Securitate

In re�eaua global� Internet care constituie suportul pentru componenta e-licitatie, asigurarea securit��ii re�elelor informa�ionale devine o cerin�� fundamental� pentru cre�terea încrederii utilizatorilor în mijloacele electronice utilizate. Atât cauzele atacurilor în re�ea cât �i evolu�iile tehnice cunosc schimb�ri rapide, dinamica acestora necesitând implementarea �i evaluarea periodic� a sistemului de securitate.

Având în vedere riscurile care decurg din dependen�a organiza�iilor de re�elele de comunica�ii electronice �i de sistemele �i serviciile informatice, precum �i din vulnerabilitatea acestora în ceea ce prive�te securitatea informa�iilor, MCTI a ini�iat Strategia Guvernamental� în domeniul securit��ii informa�iei, care este în curs de avizare �i aprobare. Acest proiect are în vedere patru concepte de baz� din domeniul securtit��ii: preven�ie, protec�ie, reac�ie �i perfec�ionare. Preocup�rile MCTI pentru standardizare în domeniul tehnologiei informa�iei �i al securit��ii informa�iei �i sistemelor s-a materializat în adoptarea �i aprobarea variantelor române�ti pentru un num�r semnificativ de standarde interna�ionale privind securitatea informa�iei, dintre care exemplific�m pe cele care se refer� la furnizarea serviciilor electronice:

o SR ISO/CEI 17799:2000 – Tehnologia informa�iei. Cod de practic� pentru managementul securit��ii informa�iei

o SR ISO/CEI 15408-1: 2004 - Tehnologia informa�iei. Tehnici de securitate – Criterii de evaluare pentru securitatea tehnologiei informa�iei (Partea 1: Introducere �i model general)

o SR ISO/CEI 15408-2:2002 - Tehnologia informa�iei. Tehnici de securitate – Criterii de evaluare pentru securitatea tehnologiei informa�iei (Partea 2: Cerin�ele func�iilor de securitate)

23

o SR ETSI TS 102023 V1.2.1:2003 – Semn�turi electronice �i infrastructuri (ESI). Cerin�e privind politica pentru autorit��ile de marcare temporal�

Recomand�ri: (a)- Elaborarea politicii de securitate IT a ASSI în concordan�� cu politicile guvernamentale �i cu evolu�iile în domeniu. (b)- Crearea cadrului procedural pentru implementarea �i utilizarea standardelor �i procedurilor de securitate în cadrul ASSI, care s� asigure un grad ridicat de fiabilitate �i siguran�� al opera�iunilor desf��urate în cadrul Sistemului e-licita�ie, în acord cu practicile interna�ionale în domeniu.

Evaluarea stadiului de implementare la nivelul ASSI a politicilor, al adopt�rii unor standarde �i recomand�ri în domeniul tehnologiei informa�iei privind eficien�a �i securitatea sistemelor IT.

(c)- Adoptarea unei abord�ri de management al riscurilor pentru a determina nivelele de securitate. Elaborarea �i men�inerea unui set de norme privind responsabilizarea întregului personal în asigurarea securit��ii sistemului.

Este necesar� evaluarea �i gestionarea riscurilor specifice care decurg din: lipsa politicii de securitate; lipsa capabilit��ilor pentru a adresa subiectele privind securitatea; viru�i �i atacuri ale hacker-ilor, atacuri care genereaz� c�deri ale sistemului sau/�i perturb� activitatea; inabilitatea de a opera în eventualitate unei c�deri majore de sistem; motive de securitate care nu permit realizarea de parteneriate cu alte organiza�ii.

(d)- Impunerea unor standarde de competen�� pentru speciali�tii implica�i în managementul securit��ii. Elaborarea unor linii directoare pentru implementarea m�surilor de securitate.

(e)- Pentru dezvoltarea încrederii în sistemele informatice, asigurarea securit��ii acestora �i protec�ia datelor, o m�sur� eficient� este promovarea pe scara larga a auditului intern în domeniul securit��ii sistemelor informatice �i re�elelor de comunica�ii. Auditul trebuie s� furnizeze informa�ii detaliate despre elementele implicate în securitatea informa�iilor, s� evalueze vulnerabilitatea �i amenin��rile existente în cadrul ASSI cu privire la problemele de securitate, s� evalueze �i s� implementeze infrastructura de securitate optim�. (f)- Se va nominaliza persoana care va îndeplini func�ia de manager de securitate. 5.2.7 Managementul tehnologiei �i al informa�iei

Constatare: In cadrul institu�iei s-a pus accent pe livrarea serviciilor electronice, care a constituit obiectivul principal în dezvoltarea componentei e-licita�ie �i s-a acordat o aten�ie deosebit� schimb�rii (re-ingineriei) proceselor afacerii. Schimb�rile în modul în care opereaz� institu�iile publice, prin utilizarea

24

tehnologiei informa�iei care au impus reproiectarea proceselor afacerii, sunt semnificative. S-au operat perfec�ion�ri ale fluxurilor de informa�ii �i ale metodelor de lucru, acestea impunând modific�ri ale sisteme IT la nivelul utiliz�rii, în primul rând la nivelul interfe�ei utilizator.

Recomandare: Este necesar� monitorizarea continu� a riscurilor specifice care decurg din func�ionarea Sistemului e-licita�ie: existen�a unor tehnologii proiectate sau implementate incorect; utilizarea unor tehnologii nevalidate care genereaz� c�deri ale sistemului; utilizarea unor tehnologii neadecvate la cerin�ele curente, care au ca efecte performan��, disponibilitate �i siguran�� sc�zute; interac�iune ineficient� a sistemelor care genereaz� procese ineficiente; con�inut informa�ional inaccesibil sau greu accesibil, imposibilitatea utiliz�rii unor oportunit��i pentru cre�terea gradului de partajare a informa�iilor �i a tehnologiilor între institu�ii. 5.2.8 Audit intern Constatare: In cadrul misiunii de audit extern desf��urate de Curtea de Conturi a României, referitoare la componenta e-licita�ie din cadrul portalului e-guvernare, au fost constatate deficien�e semnificative, în special privind cadrul formal de implementare a managementului securit��ii sistemului, o mare parte a acestor deficien�e decurgând din lipsa sau inconsisten�a unor controale adecvate (politici, proceduri, norme, reglement�ri), fapt care genereaz� riscuri majore la acest nivel, în ceea ce prive�te func�ionarea acestui serviciu electronic. De asemenea, s-a constatat faptul c� pân� în prezent, în cadrul institu�iei, nu s-au desf��urat ac�iuni de audit intern referitoare la acest domeniu.

Recomandare: Crearea unei structuri dedicate auditului IT �i auditului securit��ii, includerea unei teme de audit în planul de audit intern al ASSI, pe anul 2008, având ca obiect evaluarea stadiului implement�rii �i utiliz�rii Sistemului e-licitatie �i perspectivele care decurg din evolu�iile în domeniu.

Capitolul 6. Evaluarea controalelor generale IT pentru Sistemul e-licita�ie

I. Organizarea �i managementul sistemului IT

Implicarea conducerii la cel mai înalt nivel în coordonarea activit��ilor legate de Sistemul e-licita�ie opera�ional în Sistemul Electronic Na�ional

Viziunea noii institu�ii, asumat� de conducerea ASSI, privind continuarea, perfec�ionarea �i extinderea serviciilor electronice de tip e-guvernare în scopul cre�terii performan�ei administra�iei publice �i al cre�terii confortului cet��enilor

25

precum �i inten�ia implement�rii unui cadru de interoperabilitate eficient în administra�ia public�, confer� încredere în ceea ce prive�te asigurarea unui cadru adecvat extinderii Sistemului e-licita�ie. Conducerea ASSI �i-a manifestat inten�ia de a se implica în dezvoltarea �i asigurarea unui sistem eficient de controale interne IT (politici, strategii, linii directoare, proceduri) care va fi implementat în perioada urm�toare.

In ceea ce prive�te implicarea conducerii IGCTI în coordonarea activit��ilor, nu ne putem exprima o opinie, întrucât nu au fost disponibile documente referitoare la managementul IT pentru perioada anterioar� înfiin��rii ASSI. Din interviurile desf��urate cu personalul de conducere de la nivelul departamentelor, direc�iilor �i serviciilor rezult� c� nu au fost elaborate strategii �i politici IT formale, bazate pe o evaluare a riscurilor (riscuri în etapa de implementare, riscuri în etapa de livrare a serviciilor electronice, etc.), nu au fost stabilite linii directoare pentru atingerea obiectivelor, nu au fost prezentate ini�iative strategice în domeniul IT determinate de tranzi�ia c�tre procedurile electronice. Riscurile nu au fost identificate, planificate �i gestionate în mod formal �i nu s-a efectuat o analiz� a beneficiilor poten�iale ale utiliz�rii Sistemului e-licita�ie..

Planificarea activit��ilor IT Constatare: Nu exist� un plan corespunz�tor �i documentat pentru coordonarea activit��ilor legate de func�ionarea Sistemului e-licita�ie. Rezultatele scontate, precum �i �intele �i etapele în dezvoltarea �i implementarea proiectelor e-licita�ie nu sunt documentate (în planificarea entit��ii).

Managementul programelor �i al proiectelor. Raportarea c�tre conducerea IGCTI

Managementul proiectelor e-licita�ie este cuprinz�tor �i sistematic dar nu se realizeaz� pe baza unui cadru formal adecvat. Activit��ile �i progresul proiectelor e-licita�ie nu sunt monitorizate în raport cu planurile elaborate în acest domeniu. Supervizarea, dezvoltarea �i între�inerea Sistemului e-licita�ie se desf��oar� în cadrul Departamentului Achizi�ii Publice prin Mijloace Electronice. Persoanele responsabile cu monitorizarea rezultatelor au suficient� autoritate pentru a identifica subiectele �i pentru a ini�ia ac�iuni corective. Nu exist� o raportare regulat� c�tre conducerea de vârf a activit��ilor legate de implementarea Sistemului e-licita�ie. Nu func�ioneaz� un sistem unitar de raportare privind utilizarea serviciilor electronice de tip e-licita�ie (cu stabilirea termenelor de raportare, activit��i urm�rite, cauze �i m�suri luate în cazul apari�iei problemelor, etc.). Nu sunt stabili�i indicatori de performan�� IT care trebuie s� fie adu�i la cuno�tin�a conducerii institu�iei, în mod oficial.

26

Respectarea reglement�rilor în domeniu �i a cerin�elor proiectului

Este stabilit� responsabilitatea asigur�rii c� Sistemul e-licita�ie implementat este actualizat în conformitate cu ultima versiune furnizat� (versiunea programelor, con�inutul digital, etc.). Configura�iile hardware / software au fost livrate �i instalate conform clauzelor contractuale, pe etape �i la termenele stabilite. Pachetele software au fost furnizate conform clauzelor contractuale. Documenta�ia a fost furnizat� conform contractului.

Organizarea sistemului de monitorizare a activit��ilor �i serviciilor IT

Monitorizarea activit��ilor legate de Sistemul e-licita�ie s-a realizat la nivelul Departamentului Achizi�ii Publice prin Mijloace Electronice �i la nivelul celor trei servicii din cadrul departamentului: Serviciul Autoritate de Certificare, Serviciul Autorit��i Contractante, Serviciul Suport Companii. Nu exist� atribu�ii privind monitorizarea consecvent�, pe baz� formal�, a stadiului proiectelor e-licita�ie. Nu exist� o metodologie de evaluare a implement�rii �i utiliz�rii proiectelor e-licita�ie. Se efectueaz� în mod periodic evalu�ri ale performan�ei utilizatorilor sistemului e-licita�ie. Personalul implicat în proiectele e-licita�ie este instruit profesional în mod periodic.

Monitorizarea la nivelul utiliz�rii Nu exist� o procedur� formal� privind planificarea �i monitorizarea utiliz�rii sistemului la nivelul beneficiarilor sistemului (institu�ii �i autorit��i publice, cet��eni, mediul de afaceri). Serviciile electronice e-licita�ie au fost furnizate continuu. Utilizatorii sunt interesa�i �i se implic� continuu în perfec�ionarea �i diversificarea serviciilor electronice e-licita�ie. Nu este documentat� o politic� de protec�ie a utilizatorului privind calitatea serviciilor electronice.

Concluzii

Implementarea noii versiuni, în ianuarie 2007, a sistemului e-licitatie s-a realizat ca urmare a schimb�rilor legislative care au impus-o. Conducerea institu�iei sprijin� �i impulsioneaz� implementarea Sistemului e-licita�ie. Nu a fost stabilit� o politic� oficial�, consistent� privind implementarea componentei e-licita�ie în cadrul institu�iei. Implementarea a fost efectuat� f�r� a exista o strategie sau politic� scris� bazat� pe evaluarea riscurilor. Nu au fost elaborate în mod formal proceduri specifice de monitorizare, analiz� �i evaluare a beneficiilor poten�iale, acestea fiind identificate la nivel general.

Obiectivele IT din cadrul entit��ii sunt coroborate cu obiectivele proiectelor pentru e-licita�ie. Conducerea ASSI este con�tient� atât de importan�a introducerii �i extinderii sistemului e-licita�ie, cât �i de riscurile ce pot s� apar� în cadrul sistemului e-

27

licita�ie ca urmare a utiliz�rii acestuia. De asemenea, este preocupat� de g�sirea unor solu�ii pentru recuperarea investi�iei f�cute în proiect, prin cre�terea num�rului de utilizatori �i finan�area dezvolt�rilor din cadrul proiectului. Conducerea ASSI consider� necesar� aprobarea unor politici privind achizi�iile publice, în consens cu Declara�ia ministerial� de la Manchester, precum �i crearea unui cadru legal care s� prevad� obligativitatea pentru institu�iile publice de a utiliza SEAP.

In cadru auditului a rezultat c�, pe parcursul implement�rii sistemului, au avut loc întâlniri periodice între conducerea institu�iei �i personalul implicat în func�ionarea SEAP, care au avut ca obiect discu�ii legate de necesitatea implement�rii Sistemului e-licitatie �i de m�surile care se impun. Nu au fost prezentate documente care s� consemneze astfel de activit��i.

Recomandare: Elaborarea unei strategii formale �i a unui plan corespunz�tor �i documentat pentru coordonarea activit��ilor legate de furnizarea serviciilor electronice, care s� defineasc� �i s� impun� principiile �i metodele de implementare, utilizare, între�inere �i dezvoltare a sistemelor informatice, precum �i atribu�iile factorilor implica�i în gestionarea proceselor IT. Conducerea trebuie s� fie informat� cu regularitate despre activitatea IT, prin contacte cu factorii implica�i în operarea sistemului pentru evitarea discontinuit��ilor �i a perturba�iilor legate în special de asigurarea continu� a serviciilor.

Recomandare: Se impune crearea �i consolidarea unui cadru eficient care s� asigure coordonarea �i monitorizarea activit��ilor legate de sistemul IT (planificare, raportare, asigurarea calit��ii serviciilor, respectarea reglement�rilor în domeniu �i a cerin�elor proiectelor IT, securitatea informa�iei �i a sistemului, continuitatea sistemului, managementul schimb�rii �i dezvoltarea de sistem, auditul intern IT). Trebuie s� se asigure adecvarea la noul context organizatoric, având la baz� criterii func�ionale, compatibile cu ierarhizarea administrativ�: asigurarea unui cadru metodologic �i procedural adecvat acestui nivel, informarea regulat� a conducerii în ceea ce prive�te func�ionarea sistemului informatic, asigurarea respect�rii procedurilor interne IT, asigurarea �i utilizarea tehnologiilor informa�iei într-o manier� eficient�, în concordan�� cu cerin�ele specifice.

Nivel de risc: Având în vedere importan�a, complexitatea �i specificul problematicii asociate atribu�iilor stabilite prin lege pentru ASSI, precum �i lipsa unui sistem de controale interne IT (politici, strategii, proceduri, linii directoare, etc.), adecvat la cerin�ele �i amploarea activit��ii, consider�m nivelul de risc ca fiind major. Gradul de automatizare

Constatare: Infrastructura hardware/software aferent� Sistemului de achizi�ii publice SEAP este de ultim� genera�ie. Prin utilizarea acestui sistem, institu�iile publice din România �i mediul de afaceri au posibilitatea procur�rii de bunuri �i

28

servicii prin mijloace electronice. Sunt eviden�iate efecte pozitive caracterizate prin sc�derea costurilor de achizi�ie, cre�terea num�rului de utilizatori, cre�terea num�rului de produse achizi�ionate online. In ceea ce prive�te atribuirea prin licita�ie electronic� a contractelor, au fost raportate economii reale prin utilizarea serviciului e-licitatie disponibil. Aplica�iile sunt integrate în sistem. Acesta este bazat pe o arhitectur� deschis� �i permite extinderea prin includerea de noi aplica�ii. In dezvoltarea �i perfec�ionarea sistemului, au fost luate în considerare �i cerin�ele ANRMAP. La data efectu�rii auditului, aplica�iile back-office sunt integrate cu aplica�iile front-office �i se asigur� comunicarea �i schimbul de informa�ii dintre acestea într-o modalitate efectiv� �i compatibil�. Nivel de risc: Având în vedere existen�a unor configura�ii hardware/ software �i a arhitecturilor �i tehnologiilor informatice aferente de ultim� genera�ie, adecvate cu cerin�ele sistemului SEAP, riscul asociat livr�rii unor servicii electronice de calitate în acest context este apreciat ca fiind minor. Dependen�a de sistemul informatic

Constatare: Având în vedere c� în cadrul sistemului SEAP volumul tranzac�iilor este semnificativ, apreciem dependen�a de sistemul informatic ca fiind critic�, aplica�iile fiind indispensabile atât pentru nivelul opera�ional, cât �i pentru asigurarea fondului de date la nivel central. De asemenea, sunt critice: asigurarea serviciilor de comunica�ie �i operativitatea interven�iilor în cazuri de incidente.

Datorit� faptului c� o parte a serviciilor IT este externalizat�, existând un risc major în cazul în care furnizorul ar întrerupe livrarea serviciilor (chiar din motive de for�� major�), recomand�m o evaluare a riscurilor aferente externaliz�rii serviciilor IT �i stabilirea m�surilor privind asigurarea continuit��ii sistemului. Nivel de risc: Având în vedere efectele indisponibilit��ii sistemului peste un anumit prag de timp, riscul estimat, generat de dependen�a de sistemul informatic este major. Resurse �i cuno�tin�e IT

Func�ionarea Sistemului e-licita�ie se desf��oar� în cadrul a trei servicii din Departamentul Achizi�ii Publice prin MijloaceElectronice: Serviciul Autoritate de Certificare, Serviciul Autorit��i Contractante, Serviciul Suport Companii. Competen�ele în cadrul sistemului e-licita�ie sunt determinate Constatare: Personalul aflat în componen�a structurilor IT care gestioneaz� procesele aferente componentei e-licita�ie este instruit atât în ceea ce prive�te utilizarea tehnologiilor informa�iei �i respectarea procedurilor de operare a sistemului cât �i în aplicarea politicilor privind securitatea sistemului, asigurarea corectitudinii �i protec�iei informa�iilor.

29

In Sistemul e-licita�ie sunt antrenate aproximativ 25 de persoane. Pozi�iile cheie au fost identificate, definite �i completate. Aptitudinile personalului sunt evaluate continuu �i comparate cu necesit��ile sistemului. Instruirea �i suportul men�in abilit��ile personalului la curent cu dezvolt�rile Sistemului e-licita�ie. Exist� mecanisme pentru a transfera cuno�tin�ele dobândite din exterior c�tre entitate. Nivelul de instruire al personalului este ridicat. Se desf��oar� instruirea continu�, pe categorii de probleme specifice acestui sistem. Astfel, au fost organizate cursuri interne pe probleme de securitatea sistemelor (Riscuri de securitate la comunica�ia prin e-mail �i Riscuri de securitate privind navigarea pe Internet) la care au participat aproximativ 50 de persoane. Pentru departamentele de achizi�ii publice specializate din teritoriu apar�inând Direc�iei economice a IGCTI, au fost instruite aproximativ 30 de persoane care utilizeaz� sistemul e-licita�ie (pentru achizi�iile proprii).

Sunt realizate test�ri periodice (de 3 ori pe an), atât pentru a evalua nivelul profesional al personalului cât �i pentru depistarea problemelor pentru care este necesar� aprofundarea instruirilor. Este necesar� extinderea instruirii, având în vedere, de asemenea, complexitatea problematicii configura�iilor sau extinderea sistemului. Au mai fost semnalate necesit��i de instruire pe subiecte legate de managementul proiectelor �i de managementul schimb�rii �i dezvolt�rii sistemului.

Recomandare: Elaborarea unei politici formale în ceea ce prive�te instruirea personalului �i a unui plan documentat, în care s� fie incluse teme de interes major, legate de activitatea ASSI (securitatea sistemelor, managementul proiectelor managementul schimb�rii �i dezvolt�rii sistemului, standarde �i bune practici, administrare sistem, utilizare aplica�ii, etc.).

In general, personalul instruit este suficient in raport cu necesit��ile actuale de utilizare a sistemului e-licita�ie �i cu capacitatea configura�iilor de calcul. Exist� �i anumite categorii de personal, în special personalul tehnic IT, pentru care se constat� o supraînc�rcare a acestuia.

In cazul indisponibilit��ii, sarcinile aferente func�iei de administrare de sistem sunt preluate de persoane cu cuno�tin�e în acest domeniu. Nu exist� o procedur� formal� privind modul în care trebuie s� se desf��oare acest proces, ceea ce implic� riscuri majore în ceea ce prive�te siguran�a �i securitatea sistemului.

Constatare: Exist� anumite cuno�tin�e care sunt concentrate la nivelul unui num�r restrâns de personal, în special pentru administratorul de sistem, ceea ce genereaz� un risc major, în cazul indisponibilit��ii acestuia. Recomandare: Evaluarea posturilor considerate ca fiind critice �i preg�tirea unor persoane pentru dublarea acestor posturi.

Fluctua�ia personalului propriu implicat în coordonarea �i func�ionarea sistemului e-licita�ie, inclusiv în utilizarea sistemului, pe perioada derul�rii proiectului este

30

redus�. Aceasta se datoreaz� politicii de motivare �i stimulare a personalului, care are un moral bun.

Politica de motivare �i stimulare ofer� flexibilitate în implementarea �i managementul sistemului e-licita�ie:

• promoveaz� acceptarea dezvolt�rilor tehnologice �i a schimb�rilor în activitate,

• încurajeaz� re-orientarea aptitudinilor pentru noile activit��i, • atrage �i re�ine personal calificat, cu perfec�ionare înalt�, • încurajeaz� performan�a.

Recomandare: Având în vedere specificul domeniului �i evolu�iile rapide în domeniul furniz�rii serviciilor electronice, este necesar� men�inerea politicii de motivare a personalului cu experien�� în operarea administrarea �i între�inerea sistemului, atragerea unor resurse umane competente �i responsabile, actualizarea cuno�tin�elor din acest domeniu prin includerea în planul de instruire a unor cursuri dedicate profilului special al sistemului e-licitatie, politici care vor avea ca efecte cre�terea satisfac�iei personalului care se va reflecta în nivelul de performan��. Nivel de risc: Având în vedere nivelul de instruire adecvat cu cerin�ele de operare ale sistemului SEAP, precum �i utilizarea unor proceduri performante de protec�ie a informa�iilor, riscul unor interven�ii eronate din partea personalului este minor.

Increderea în IT Personalul ASSI este informat despre necesitatea �i beneficiile Sistemului e-licita�ie, în�elege perspectivele �i evolu�ia sistemului e-licita�ie, rolurile pe care le va juca �i a�tept�rile de la acesta. Conducerea de vârf �i personalul implicat în proiecte demonstreaz� încredere în implementarea programelor �i proiectelor aferente Sistemului e-licita�ie. Sistemul e-licita�ie acoper� necesit��ile curente ale activit��ii, este flexibil �i adaptabil. In ceea ce prive�te coordonarea, administrarea, între�inerea �i utilizarea, pesonalul implicat apreciaz� sistemul ca fiind complex, dar f�r� s� implice dificult��i tehnice deosebite. Erorile semnalate în perioada imediat urm�toare lans�rii sistemului (testarea cu utilizatorii) au fost corectate. In prezent, cele mai frecvente solicit�ri pentru suport se refer� la în�elegerea procedurii de autentificare. Semnalarea anomaliilor, erorilor sau incidentelor se face online sau prin intermediul helpdesk, suportul tehnic este acordat permanent, prin expunerea modalit��ilor de corectare/ rezolvare a problemelor ap�rute.

Sistemul poate suporta extinderea serviciilor electronice e-licitatie, prin includerea de noi aplica�ii fiind bazat pe o arhitectur� deschis�.

31

Atât documenta�ia tehnic� furnizat� de c�tre dezvoltatorii software cât �i suportul metodologic oferit în cadrul sistemului sunt apreciate de utilizatorii interni ca fiind adecvate. Utilizatorii interni nu consider� dificil� utilizarea sistemului �i apreciaz� ca fiind util� implementarea �i extinderea acestuia. Nivel de risc: Increderea în sistem a utilizatorilor �i suportul oferit implic�, în ceea ce prive�te perspectiva utiliz�rii sistemului SEAP, un nivel de risc minor. Externalizarea activit��ilor �i serviciilor IT

Externalizarea activit��ilor �i serviciilor IT include: service echipamente, dezvoltare software de aplica�ie, dezvoltare software de securitate, servicii Internet.

Furnizorii IT sunt companii mari, cunoscute pe pia�a IT&C �i au reputa�ie solid�:

1. TotalSoft – Dezvoltare �i între�inere sistem software e-licitatie – aplica�ia de achizi�ii publice

2. UTI SYSTEM S.A. Dezvoltare Sistem electronic de Achizitii Publice – modulul de securitate

3. RCS & RDS S.A. Furnizare de servicii dedicate Internet

4. NET VISION TELECOM Furnizare de servicii dedicate Internet

5. HP România – furnizare de echipamente hardware

Nu sunt semnalate probleme în leg�tur� cu dependen�a fa�� de furnizori. Pentru versiunea curent�, entitatea dispune de codul surs� al componentelor software.

Nivel de risc: Având în vedere m�rimea �i reputa�ia furnizorilor, precum �i clauzele contractuale, riscul decurgând din contractele cu ace�tia, în ceea ce prive�te calitatea serviciilor, respectarea termenelor, confiden�ialitatea este minor. Calitatea serviciilor

Entitatea auditat� este certificat� ISO 9001/2000. Manualul calit��ii con�ine, în harta proceselor, procesele aferente Sistemului e-licita�ie. De asemenea, con�ine procedurile opera�ionale aferente urm�toarelor structuri organiza�ionale: Serviciul Portal eGuvernare, Serviciul Autoritate de Certificare, Serviciul Suport Autorit��i Contractante, Serviciul Suport Companii.

Recomandare: Extinderea certific�rii pentru conformitatea cu un standard de referin�� de securitate a sistemelor (de exemplu ISO 17799).

32

Raportarea c�tre management

Constatare: Conducerea IGCTI nu a implementat un sistem de raportare formal� �i regulat� a activit��ilor IT c�tre management. In situa�ia în care apar probleme, aceste sunt semnalate, de regul� în scris sau direct, c�tre conducere. Lipsa unei proceduri formale de raportare conduce la cre�terea riscului ca problematica IT s� nu fie suficient cunoscut� de conducere. Recomandare: Introducerea unor raport�ri formale �i sistematice c�tre conducerea ASSI, privind activitatea IT. Se recomand�, de asemenea, stabilirea unei raport�ri IT formale �i regulate c�tre management, pe subiecte clar definite (proiecte IT, probleme interne, probleme de securitate etc.)

II. Securitatea fizic� �i controalele de mediu Controlul accesului fizic Amplasamentul destinat echipamentelor aferente infrastructurii e-guvernare /

e-licita�ie este adecvat. Exist� regulament de acces care include proceduri de acces stabilite �i aprobate oficial, în spa�iile care g�zduiesc echipamentele IT. De asemenea, se precizeaz�: cine are acces în s�li, care sunt mijloacele prin care se controleaz� accesul în aceste spa�ii (card de acces, sistem biometric, camer� video), cerin�a ca vizitatorii s� fie înso�i�i de un angajat al entit��ii. Sunt instalate echipamente de restric�ionare a accesului utilizatorilor (sistem biometric). A fost elaborat� �i documentat� procedura opera�ional� privind accesul fizic în înc�perile în care este amplasat� infrastructura IT ce compune Sistemul Electronic Na�ional care include Sistemul e-licita�ie. In leg�tur� cu sistemul biometric utilizat pentru autorizarea accesului în sala serverelor, s-a constatat c� între locul unde este amplasat acesta �i sala serverelor se afl� un birou, cu acces în sala serverelor prin card de acces, în care î�i desf��oar� activitatea un num�r de 5 persoane (adiacent s�lii serverelor). Recomandare: Amplasarea sistemului de acces biometric la u�a de acces în sala serverelor.

Protec�ia mediului

S�lile în care este instalat� configura�ia aferent� Sistemului e-licita�ie sunt echipate cu: sisteme de prevenire a incendiilor, dispozitive pentru controlul umidit��ii, aer condi�ionat, camere ecranate.

La nivel de institu�ie exist� regulament intern privind protejarea cablurilor de re�ea, amplasarea elementelor active ale re�elei în rackuri speciale, etc. Recomandare: Implementarea unei proceduri privind asigurarea securit��ii fizice �i de mediu care s� includ� controale IT care s� asigure, pe de o parte, protec�ia

33

împotriva accesului personalului neautorizat, iar pe de alt� parte, protec�ia în ceea ce prive�te deteriorarea mediului în care func�ioneaz� sistemul (cauzat� de foc, ap�, cutremur, praf, c�deri sau cre�teri bru�te ale tensiunii electrice). III. Securitatea informa�iilor �i a sistemului

Auditul perimetrului de securitate Scopul stabilirii perimetrului de securitate pentru re�ele este acela de a permite organiza�iilor s� gestioneze riscurile asociate cu implementarea �i utilizarea re�elelor publice sau private. Perimetrul de securitate este primul �i cel mai important nivel de ap�rare al unei organiza�ii. El asigur� ap�rarea pe mai multe niveluri care trebuie s� fie parcurse pentru a ob�ine accesul la bunurile �i resursele informa�ionale interne.

Obiective de audit: Controlul asupra proceselor IT privind asigurarea securit��ii, pentru a satisface cerin�ele afacerii de a proteja informa�iile împotriva utiliz�rii neautorizate, dezv�luirii, modific�rii, deterior�rii sau pierderii este realizat prin controale ale accesului logic, care asigur� c� accesul la sistem, date �i programe este permis utilizatorilor autoriza�i �i ia în considerare:

• cerin�ele de confiden�ialitate; • autorizarea, autentificarea �i controlul accesului; • identificarea utilizatorului �i profile autorizate; • managementul cheilor criptografice; • gestionarea incidentelor, raportarea �i revizuirea; • prevenirea �i detectarea viru�ilor; • firewalls; • administrarea centralizat� a securit��ii; • instruirea utilizatorilor; • instrumente de monitorizare a conformit��ii, testarea intruziunilor �i

raportare. Proceduri de audit. Auditul perimetrului de securitate are ca obiectiv examinarea componentelor cheie �i a subiectelor care trebuie luate în considerare când este instalat� �i/sau utilizat� o arhitectur� de re�ea. Evaluarea perimetrului de securitate s-a desf��urat pe baza unor documente prezentate de entitate, pe baza informa�iilor ob�inute în cadrul interviurilor �i prin inspec�ia zonelor în care se afl� serverele pe care este instalat Sistemul e-licita�ie.

Au fost prezentate urm�toarele documente:

Personalul cheie de administrare a re�elei, personalul cheie de utilizare Schema arhitecturii de re�ea, Materiale de instruire legate de securitate,

34

Nu au fost prezentate documente privind analiza riscurilor legate de securitatea re�elei, care trebuie s� includ� informa�ii privind sistemul, datele �i clasificarea serviciilor.

Nu au fost prezentate copii ale urm�toarelor documente ale organiza�iei:

Politica de securitate Strategiile/strategia privind securitatea Organigrama curent� pentru aria de administrare a re�elei �i a sistemului Rapoarte de violare a securit��ii �i proceduri de managementul revizuirilor

Politica de securitate IT Constatare: In cadrul entit��ii auditate exist� reguli �i proceduri privind securitatea sistemului IT dar nu exist� o politic� formal� de securitate IT. In ceea ce prive�te administrarea sistemului, aceasta este realizat� consistent �i coerent, exist� persoane cu atribu�ii specificate în fi�a postului, privind administrarea sistemului . De�i nu exist� un ofi�er de securitate, persoana responsabil� pentru securitate (administratorul sistemului) are îndatoriri stabilite in mod concret. Constatare: Nu este respectat� condi�ia de separare a atribu�iilor pentru administratorul de sistem �i responsabilul cu securitatea.

Securitatea �i protec�ia informa�iilor se asigur� prin utilizarea parolelor, a sistemului antivirus �i monitorizarea jurnalelor de opera�ii. Exist� o procedur� formal� pentru atribuirea �i administrarea drepturilor de acces. Acordarea parolelor se face pe baza unor reguli. Administrarea drepturilor de utilizator nu se realizeaz� pe baza unei proceduri, neexistând un formular pentru crearea �i �tergerea conturilor de utilizator �i pentru acordarea, modificarea �i revocarea drepturilor de acces. Informa�iile transmise pe Internet sunt încriptate, riscul pierderii confiden�ialit��ii sau al modific�rii con�inutului informa�iilor de c�tre persoane neautorizate este minor.

Nu exist� o strategie de securitate documentat� care suport� necesit��ile afacerii organiza�iei. Nu a fost f�cut� o evaluare consistent� a riscurilor pentru a identifica toate vulnerabilit��ile poten�iale ale re�elei. Nu sunt specificate tipurile de controale care trebuie implementate. Nu exist� proceduri �i standarde documentate, suficient de detaliate, pentru a implementa strategiile de securitate, (cu excep�ia procedurilor din Manualul Calit��ii ISO 9001/2000). Nu au fost implementate strategii formale sus�inute prin proceduri �i standarde de securitate detaliate, documentate. O serie de func�iuni privind securitatea sunt preluate de aplica�ii �i componente specifice din sistemele de operare.

35

Au fost implementate o serie de proceduri importante privind optimizarea re�elei �i reducerea riscurilor de intruziune. Acestea nu sunt formalizate într-un document însu�it �i aprobat de conducerea entit��ii. Au fost identificate �i clasificate potrivit nivelului lor de încredere toate conexiunile re�elei organiza�iei �i au fost separate, în DMZ (Zona Demilitarizat�), serviciile �i conexiunile, în func�ie de categoriile de încredere definite. Au fost �terse din sistemul de operare server, toate serviciile care nu sunt necesare �i au fost instalate toate patches-urile curente în sistemul de operare �i în aplica�ii. A fost minimizat� utilizarea protocoalelor neîncriptate. Se efectueaz� scanarea viru�ilor pe servere externe, înainte de a admite fi�ierele în re�eaua organiza�iei. Au fost redenumite conturile de administrator (fa�� de default) pentru a face dificil� identificarea lor. Au fost schimbate toate parolele default, au fost dezactivate toate conturile guest �i au fost �terse sau dezactivate toate serviciile FTP anonime. A fost restric�ionat puternic accesul de la distan�� la log-urile sistemului. Au fost revizuite atent �i ajustate în concordan�� cu caracterul critic al informa�iei permisiile legate de fi�iere, directoare, etc.. Sunt afi�ate mesaje de avertizare atunci când sunt accesate resursele sistemului. Sunt separate adecvat conturile de administrare a sistemului. Constatare: Nu este nominalizat un ofi�er de securitate IT. Nivel de risc: Nu exist� o politic� de securitate formal� care s� acopere toate activit��ile IT într-un mod consistent, ceea ce implic� un risc major.

Zone de încredere

Punctele de acces fizic la resursele informatice prezente în schema arhitecturii de re�ea au fost identificate iar personalul are cuno�tin�� despre acest fapt. Arhitectura DMZ implementat� este potrivit� cu clasificarea privind încrederea �i protocoalele asociate cu conexiunile la serviciile de re�ea. Nici unei persoane nu-i este permis accesul la toate componentele structurii securit��ii re�elei organiza�iei.

Conexiuni externe

Conexiunile externe sunt protejate împotriva atacurilor informatice (viru�i, acces neautorizat) prin utilizarea urm�toarelor componente �i tehnologii specifice re�elelor:

- Sistem de detectate a intruziunilor (IDS)

- Routere, firewall,

- Layer transparent de securitate,

- Criptarea traficului

- Sistem antivirus centralizat

36

Au existat numeroase atacuri informatice asupra re�elei, dar acestea au fost neutralizate.

Echipamentele de tip Router - au ca prim� responsabilitate rutarea traficului �i nu accentuarea filtr�rii datelor �i sunt instalate între segmente din re�ea cu diferite nivele de încredere pentru a asigura conectivitatea. Toate serviciile �i protocoalele care nu sunt necesare au fost �terse din toate router –ele externe.Toate punctele de acces la router-e care nu sunt necesare au fost �terse pentru a reduce accesul la serviciile prin care un router poate fi gestionat. Router-ele externe nu sunt utilizate ca filtre granulare �i filtrarea static� sau dinamic� este implementat� prin firewall în concordan�� cu politica pentru firewall. Echipamentele de tip Switches utilizate au capacitatea de a fi gestionate �i/sau monitorizate de la distan��, au fost fixate limite de la care acestea pot fi accesate în re�ea, au fost �terse serviciile care nu sunt necesare.

Firewalls - Nu exist� documenta�ie care s� precizeze ceea ce este permis în interiorul �i în exteriorul re�elei pentru toate serviciile �i aplica�iile. Nu este documentat� formal arhitectura gateway. Setul de reguli firewall interzice tot traficul, cu excep�ia cazurilor când acesta este cerut explicit.

Detectarea intruziunilor A fost implementat un sistem de detectare a intruziunilor (IDS – Intrusion Detection System), pentru identificarea �i izolarea acestora. Regulile pentru IDS nu sunt documentate astfel încât s� se specifice la ce evenimente se va activa o alert� �i ce r�spuns se va da pentru acea alert�.

Evaluarea securit��ii re�elei Testarea penetr�rii este considerat� ca o func�ie integral� de baz� a securit��ii informa�iei. Organiza�ia efectueaz� lunar teste de penetrare. Au fost documentate �i aprobate scopurile �i obiectivele pentru testele de penetrare. Au fost elaborate �i implementate proceduri privind securitatea re�elei, specializate în func�ie de tipurile de componente hardware �i de rolul pe care le au acestea în cadrul re�elei: procedura opera�ional� privind securitatea sistemelor de guvernare electronic� �i procedura opera�ional� privind mentenan�a subsistemului gateSAFE. Acestea nu sunt elaborate �i documentate în întregime în concordan�� cu cerin�ele unor standarde interna�ionale de securitate.

Constatare: Nu este nominalizat un manager pentru securitatea sistemului. Institu�ia a ini�iat demersurile pentru certificarea sistemului în ceea ce prive�te managementul securit��ii �i în acest context sunt în curs de elaborare: politica de securitate, planuri �i proceduri privind securitatea.

Recomandare: Revizuirea �i completarea procedurilor existente cu controale adecvate acestui tip de sistem care este expus într-un grad înalt atacurilor din exterior, cât �i elaborarea unor noi proceduri, în conformitate cu standardele

37

interna�ionale de securitate (ex. ISO 17799). De asemenea, recomand�m nominalizarea unui manager pentru securitatea sistemului. Pentru a cre�te con�tientizarea cu privire la securitate în cadrul sistemului, au fost organizate cursuri interne, testarea personalului, instruiri tematice. Se desf��oar� instruirea continu� privind securitatea pentru tot personalul relevant. Partenerii sunt certifica�i pentru standarde de securitate.

Pentru a r�spunde schimb�rilor de sistem sau ale mediului de operare, nu s-a realizat în mod formal o evaluare a riscurilor, documentat�, �i o urm�rire regulat� a vulnerabilit��ilor ce pot s� apar�.

Sunt implementate mecanisme eficace pentru: asigurarea protec�iei împotriva atacurilor, inclusiv viru�i, hackeri, etc.; identificarea unic� a participan�ilor la o tranzac�ie electronic�; asigurarea c� participarea la o tranzac�ie nu poate fi recuzat�.

Sistemul e-licita�ie este testat extensiv �i regulat �i revizuit dar nu sunt implementate politici �i proceduri formale aferente acestor opera�iuni. Testele continue �i revizuirile includ: test de penetrare (test real life de securitate pentru conexiuni Internet sau prin acces la distan�� din exterior); revizie diagnostic (o revizie intern� detaliat� a acelor p�r�i ale sistemului relevante pentru securitate).

Nu este implementat un sistem automat care recunoa�te hibele în sistemul de securitate.

Au fost raportate activit��i neautorizate �i vulnerabilit��i ale sistemului de c�tre administratorii de re�ea c�tre conducerea institu�iei.

Accesul individual la sistem �i informa�ii este strict controlat, dar nu pe o baz� formal�.

Protec�ia informa�iilor �i confiden�ialitatea

Nu este dezvoltat un plan de management al confiden�ialit��ii. Exist� angajamente de confiden�ialitate semnate de fiecare angajat din cadrul Departamentului e-Guvernare implicat în Sistemul e-licita�ie �i de angaja�ii Departamentului de achizi�ii publice prin mijloace electronice.

Nu este documentat� o politic� de protec�ie a informa�iilor �i de confiden�ialitate în concordan�� cu cerin�e specificate care s� promoveze o partajare a informa�iilor corect� �i rezonabil� cu beneficii reflectate în eficien�� �i eficacitate.

In condi�iile în care se solicit� informa�ii identificabile �i individuale, nu exist� posibilitatea divulg�rii privind: informa�ia colectat� �i modul în care a fost colectat�, utilizarea inten�ionat� a informa�iei colectate �i a modului în care va fi furnizat�, partajarea informa�iei cu o ter�� parte, modul în care entitatea men�ine acurate�ea �i securitatea informa�iilor individuale identificabile pe care le prime�te �i le memoreaz�, modul în care persoanele pot s�-�i revizuiasc� informa�iile proprii �i s� solicite corec�ii.

38

Nu se realizeaz� o monitorizare a practicilor, pentru a preg�ti aderarea la politica de management al protec�iei informa�iilor �i a inregistr�rilor a institu�iei.

Administrarea securit��ii

Nu este nominalizat un responsabilul pentru securitatea Sistemului e-licita�ie, altul decât administratorul de re�ea. O parte dintre atribu�iile responsabilului pentru securitatea sistemului sunt alocate administratorilor de re�ea. Cele dou� func�ii trebuie s� aib� atribu�ii distincte.

Controlul accesului logic

Revizuirea jurnalelor de opera�ii în cadrul Sistemului e-licita�ie Nu exist� proceduri privind monitorizarea �i analiza periodic� a jurnalelor de opera�ii ale sistemului IT e-licita�ie. Nu exist� proceduri privind administrarea utilizatorilor. In prezent, este în curs de elaborare un plan de securitate în care se inten�ioneaz� includerea unor astfel de proceduri.

In ceea ce prive�te administrarea drepturilor utilizatorilor, exist� manuale de utilizare pentru utilizatorii externi. Pentru utilizatorii interni exist� drepturi �i roluri asignate de c�tre administratorul bazei de date. Acestea sunt men�ionate în manualul de utilizare pentru actorul – Operator SEAP.

Nu exist� o procedur� formal� care s� men�ioneze m�surile ce trebuie luate în cazul în care administratorul de sistem pleac� din institu�ie.

Exist� un formular electronic pentru crearea �i �tergerea conturilor de utilizator, �i pentru acordarea, modificarea �i revocarea drepturilor de acces. Drepturile de acces se acord� în baza acestui formular. Formularul fiind electronic nu con�ine semn�turi, identificarea autorului �i a utilizatorului realizându-se automat.

Reguli pentru parole

Pentru accesul în sistem sunt definite urm�toarele reguli pentru parole:

- Lungimea parolei – minim 6 caractere;

- Nu sunt specificate reguli referitoare la con�inutul parolei;

- Nu este men�ionat� o perioad� de valabilitate a parolei;

- Nu este specificat un num�r de încerc�ri pân� la blocarea contului, dac� parola nu este valid�;

- In cazul bloc�rii contului, numai administratorul contului îl poate debloca;

- Nu este precizat un num�r de parole precedente re�inute de catre sistem;

- Utilizatorii nu sunt for�ati s� schimbe parola la prima accesare.

39

In Sistemul e-licitatie, accesul din exterior se face pe baza unui certificat digital. La fiecare autentificare utilizatorul trebuie s� se conecteze cu cont utilizator �i parol� de acces, dup� ce în prealabil a ob�inut certificatul digital. Aceste metode de autentificare sunt complementare, nefiind posibil� accesarea sistemului din exterior f�r� aceste elemente. Toate cererile f�cute c�tre Sistemul e-licita�ie sunt tratate, în mod transparent, de catre un layer de securitate. Au fost elaborate �i documentate proceduri opera�ionale privind revocarea certificatelor digitale, privind emiterea �i reînnoirea certificatelor digitale pentru Serviciul portal e-guvernare.

Proceduri de control asupra conturilor cu drepturi depline Drept de administrare pentru sistemul e-licita�ie îl de�ine administratorul de baze de date, care aloc� �i autorizeaz� conturile cu drepturi depline �i monitorizeaz� activit��ile utilizatorilor cu drepturi depline.

IV. Managementul continuit��ii sistemului

Constatare: In scopul elimin�rii riscului unor defec�iuni majore generate de sistemul IT sunt implementate proceduri pentru men�inerea integrit��ii datelor entit��ii prin intermediul unor servicii opera�ionale �i facilit��i de prelucrare �i, dac� este necesar, prin furnizarea unor servicii temporare pân� la reluarea serviciilor întrerupte. Nu este documentat un plan de recuperare în caz de dezastru.

Copii de siguran�� (back-up) ale datelor si sistemului

Exist� o procedur� formal� de salvare a fondului de date. Sunt efectuate copii atât automat, cât �i manual, cu frecven�� zilnic�, pe servere oglind� �i pe benzi magnetice. Con�inutul copiei este de tip sistem, fond de date, complet �i incremental. Locul de stocare a copiei este în cl�direa în care este instalat sistemul care opereaz� în modul de produc�ie.

Nu exist� o loca�ie de back-up diferit� de sediul ASSI, ceea ce implic� un risc major în ceea ce prive�te recuperarea datelor �i a sistemului, pentru cazul în care s-ar produce o avarie cu distrugeri fizice Exist� un proiect de creare �i implementare a unui data center, ca loca�ie de back-up, respectând standardele interna�ionale din domeniu.

Copiile de rezerv� ale sistemului sunt testate automat cu frecven�� s�pt�mânal�. Nu exist� o procedur� formal� de testare. Exist� o procedur� de recuperare/restaurare.

40

Managementul capacit��ii

A fost efectuat� analiza capacit��ii configura�iei disponibile de a face fa�� cerin�elor sistemelor sau aplica�iilor prin prisma unor criterii de performan�� stabilite. Concluziile formulate au generat m�suri referitoare la eliminarea îngust�rilor de trafic, optimizarea configur�rii re�elelor �i/sau sistemelor, reproiect�ri ale fluxurilor, extinderea configura�iilor sau înlocuirea acestora. În prezent, nu exist� probleme legate de necesitatea extinderii configura�iei hardware/software. Sistemul actual a fost proiectat pentru a admite 100000 de utilizatori.

Managementul problemelor

Constatare: Managementul problemelor nu este realizat pe baza unei proceduri formale, problemele fiind raportate ierarhic. Nu exist� o eviden�� a problemelor (registrul problemelor) �i nici proceduri pentru analiza problemelor, pentru urm�rirea problemelor r�mase deschise sau nerezolvate. Utilizatorii semnaleaz� problemele prin e-mail, telefon sau pe forum-ul de discu�ii. Din punctul de vedere al aplica�iei, pentru probleme software, se �ine o eviden�� electronic�, pe calculatorul administratorului, printr-o aplica�ie cu interfa�� web de raportare a bug-urilor, direct dezvoltatorilor. Ace�tia, trateaz� anomaliile semnalate �i transmit actualiz�rile necesare. Problemele ap�rute, sunt analizate de conducerea Departamentului e-Guvernare �i de cea a Departamentului de achizi�ii publice prin mijloace electronice.

Pentru detectarea problemelor r�mase deschise se utilizeaz� o aplica�ie care efectueaz� o filtrare dup� acest criteriu.

Nu exist� o procedur� pentru tratarea cazurilor de probleme detectate �i nerezolvate.

Planificarea continuit��ii

Planificarea continuit��ii proceselor IT presupune existen�a unui plan documentat corespunz�tor de continuitate a afacerii �i, în particular, a opera�iunilor IT. Planul de continuitate a afacerii reprezint� un control corectiv semnificativ �i are la baz� o metodologie care s� ofere cadrul procedural pentru toat� problematica abordat�: definirea obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea termenelor �i a responsabilit��ilor, aprobare. Trebuie examinate, de asemenea, m�surile de prevenire a dezastrului pentru a opera perfec�ionarea acestora. Pe baza analizelor �i informa�iilor preliminare se realizeaz� dezvoltarea planului de continuitate, care va fi implementat, testat prin simul�ri periodice �i actualizat în func�ie de schimb�rile impuse de rezultatele simul�rilor. Planul de continuitate trebuie s� fie f�cut cunoscut personalului implicat în procesele IT.

41

Constatare: Nu a fost documentat corespunz�tor un plan de continuitate a activit��ii IT. A fost elaborat� o versiune care se refer� în special la crearea unui centru de recuperare în caz de dezastru, într-un loc separat de cel în care func�ioneaz� sistemul în modul de produc�ie. Recomandare: Elaborarea planului de continuitate a activit��ii IT. Implementarea acestuia trebuie s� constituie o prioritate pentru ASSI, întrucât, sistemul func�ioneaz� la nivel na�ional, în timp real, dependen�a de sistemul IT este mare, iar pierderile rezultând din nefunc�ionarea sistemului sau distrugerea datelor ar fi semnificative, reputa�ia institu�iei fiind deteriorat�.

Acest plan trebuie s� includ� crearea unui centru de recuperare în caz de dezastru, într-o loca�ie separat� de cea în care func�ioneaz� sistemul în modul de produc�ie. Pân� la definitivarea acestui proiect recomand�m crearea condi�iilor pentru p�strarea unei versiuni a copiilor back-up într-o alt� loca�ie.

Managementul opera�iunilor IT

Proceduri opera�ionale IT Sunt documentate urm�toarele proceduri de operare: proceduri de recuperare sau restartare, instalare de software �i hardware, raportarea incidentelor, rezolvarea problemelor, asigurarea mentenan�ei pentru infrastructura hardware a Sistemului Electronic Na�ional. Compartimentul de managementul calit��ii este reponsabil de actualizarea procedurilor opera�ionale IT.

In ceea ce prive�te între�inerea sistemului IT, sunt încheiate contracte de service cu firme de profil care asigur� func�ionalitatea neîntrerupt� a configura�iilor hardware / software.

Protec�ia împotriva viru�ilor Au fost instalate programe antivirus pentru protejarea sistemelor IT împotriva atacurilor din exterior. Solu�ia antivirus se aplic� distinct, serverelor �i tuturor sta�iilor de lucru (serverele �i sta�iile de lucru au solutii antivirus diferite). Software-ul antivirus scaneaz� toate fi�ierele (pe server �i sta�iile de lucru) automat, în mod periodic.

Utilizatorii nu au permisiunea s� dezactiveze software-ul antivirus la sta�ia lor de lucru.

Recomandare: În scopul elimin�rii riscului unor defec�iuni majore generate de sistemul TI, se vor implementa controale adecvate astfel încât entitatea s� poat� relua în mod eficient opera�iunile, într-o perioad� de timp rezonabil�, în cazul în care func�iile de prelucrare nu mai sunt disponibile. Sunt necesare, de asemenea, completarea procedurii opera�ionale de back-up, între�inerea �i gestionarea copiilor

42

de siguran�� ale datelor �i sistemelor, implementarea unor politici pentru managementul problemelor, planificarea continuit��ii, protec�ia împotriva viru�ilor. Nivel de risc: Lipsa planului de continuitate a proceselor IT în condi�iile în care sistemul func�ioneaz� la nivel na�ional în timp real, dependen�a de sistemul IT este mare, iar pierderile rezultând din nefunc�ionarea sistemului sau distrugerea datelor ar fi semnificative, implic� un risc major. V. Managementul schimb�rii �i al dezvolt�rii

Constatare: La nivelul entit��ii auditate nu exist� o procedur� formal� pentru implementarea schimb�rilor tehnice pentru sistemul IT, în ceea ce prive�te schimbarea configura�iei hardware/software sau dezvolt�rile de aplica�ii IT.

Schimb�rile de sistem au fost autorizate �i testate. Exist� un formular pentru cereri de modificare �i dezvoltare a sistemului IT, pe baza cerin�elor �i reglement�rilor legale din domeniul achizi�iilor publice emise de ANRMAP. Cererile se aprob� la nivelul institu�iei. Este realizat� o monitorizare continu� pentru a se asigura c� nu au loc schimb�ri neautorizate de sistem, toate modificarile se fac in baza unor documente oficiale emise de organismele autorizate. Investi�iile în hardware, software �i servicii IT pentru sistemul e-licita�ie sunt evaluate corespunzator pe baza unor note de fundamentare.

Recomandare: Implementarea unei proceduri formale privind managementul schimb�rii sistemului, care s� prevad� modul de operare a schimb�rilor tehnice pentru sistemul IT, în ceea ce prive�te configura�ia hardware/software sau dezvolt�rile aplica�iilor IT, modul de urm�rire a implement�rii �i asigurarea unei eviden�e clare a modific�rilor operate asupra sistemului IT. Capitolul 7. Evaluarea portalului www.e-licitatie.ro

Portalul www.e-licitatie.ro constituie punctul de acces pentru ini�ierea livr�rii de servicii electronice pentru achizi�ii publice. Eficacitatea livr�rii serviciilor electronice depinde, în primul rând, de ceea ce ofer� portalul web în termeni de informa�ie, interactivitate �i tranzac�ii. Beneficiile livr�rii de servicii electronice, precum �i utilizarea performant� a acestora sunt condi�ionate de gradul în care site-urile web sunt accesibile �i prietenoase pentru utilizatori.

Importan�a focaliz�rii pe necesit��ile utilizatorilor. Necesit��ile utilizatorilor trebuie s� fie identificate �i definite din punctul acestora de vedere. Din aceast� perspectiv�, procesul de dezvoltare a unui site web trebuie s� porneasc� de la cerin�a furniz�rii unor informa�ii �i servicii accesibile �i folositoare utilizatorului,

43

în func�ie de categoria din care acesta face parte �i de cuno�tin�ele sale tehnice. Este esen�ial ca site-urile web s� fie proiectate pentru a fi utilizate �i nu pentru a defavoriza sectoare ale popula�iei.

Constatare: Componenta e-licita�ie este integrat� în sistemul e-guvernare. In prezent, intrarea în aplica�ie se poate realiza în trei moduri: prin portalul e-guvernare, direct prin portalul e-licita�ie sau prin intermediul unui motor de c�utare (Google). Se recomand� intrarea în aplica�ie direct prin portalul e-licitatie. Se inten�ioneaz� perfec�ionarea interfe�ei front office – back-office, prin unificarea intr�rilor în portalul e-guvernare. Implementarea noii solu�ii presupune modificarea procedurii de autentificare întrucât unificarea componentelor care vor deveni interoperabile va impune întroducerea unor filtre pentru autentificarea personalizat� la nivel de component�.

Recomandare: Revizuirea arhitecturii �i a formei de prezentare pentru portalul e-guvernare, �i evaluarea oportunit��ii reproiect�rii acestuia. In acest context este necesar� �i o evaluare a resurselor de finan�are necesare. Obiectivele afacerii aferente portalului e-licitatie sunt: furnizarea unor servicii de calitate, transparen�a �i trasabilitatea achizi�iilor publice în România. Utilizatorii �int� sunt autorit��i contractante, operatori economici, institu�ii publice �i public. 7.1 Considerente generale privind cadrul de auditare a portalului www.e-licitatie.ro Constatare: Con�inutul portalului www.e-licitatie.ro evaluat este relevant �i adecvat, interfa�a cu utilizatorul este prietenoas�, func�ionalitatea este adecvat� �i orientat� pe necesit��ile utilizatorilor.

A fost luat� în considerare consultarea cu utilizatorii asupra con�inutului, func�ionalit��ii �i interfe�ei, realizat� prin tehnici interactive online (forum care colecteaz� reac�ia utilizatorilor) pe tot parcursul dezvolt�rii sistemului, în scopul cre�terii performan�ei serviciilor electronice e-licita�ie prin utilizarea unor infrastructuri �i servicii IT de calitate. 7.2 Criteriile de evaluare Aspectele cele mai importante privind evaluarea portalului www.e-licitatie.ro se refer� la: relevan�a con�inutului; actualitatea �i acurate�ea informa�iilor furnizate; furnizarea tranzac�iilor; accessibilitatea site-ului la momentul necesar, utilizând instrumente de c�utare cu o vitez� de r�spuns acceptabil�; organizarea logic� a con�inutului, în concordan�� cu necesit��ile utilizatorilor; existen�a link-urilor care îi ajut� pe utilizatori s� g�seasc� informa�ii atât pe site cât �i în alt� parte; asistarea utilizatorilor în stabilirea cu u�urin�� a scopului a site-ului web �i a modului de utilizare efectiv�; furnizarea informa�iilor privind legalitatea, necesare utilizatorilor

44

pentru a în�elege consecin�ele utiliz�rii portalului www.e-licitatie.ro; facilitarea comunica�iei bi-direc�ionale; furnizarea unor motoare de c�utare performante. Criteriile de evaluare care au fost luate în considerare pentru a stabili dac� utilizarea site-ului web este prietenoas� au fost:

a) Deschiderea: m�sura în care portalul www.e-licitatie.ro furnizeaz� informa�ii complete �i de încredere �i oportunit��i pentru interac�iune între sistem �i utilizatori.

b) Orientarea: orientarea utilizatorului în cadrul portalului www.e-licitatie.ro, comunicarea cu claritate a scopului �i audien�ei �int�, precum �i furnizarea asisten�ei help sau a instruc�iunilor de exploatare. Este necesar� de asemenea comunicarea informa�iilor necesare despre protec�ie, copyright/condi�ii de utilizare sau securitate.

c) Acoperirea: con�inutul portalului www.e-licitatie.ro este adecvat scopului declarat �i utilizatorilor.

d) Men�inerea la zi �i acurate�ea: con�inutul trebuie s� fie evaluat �i men�inut relevant �i actualizat, corect din punct de vedere lingvistic, s� îndeplineasc� criteriile de calitate pentru informa�ie.

e) Interactivitatea: portalul www.e-licitatie.ro trebuie s� furnizeze informa�ii la cerere, forme pentru servicii e-mail, servicii de comunica�ie interactiv� în timp real, tranzac�ii standard sau la cererea utilizatorilor, s� permit� transmiterea formelor �i înregistrarea pentru servicii, s� ofere oportunit��i pentru discu�ii publice, s� furnizeze baze de date pentru c�utare.

f) Accesibilitatea: se refer� la gradul în care portalul www.e-licitatie.ro este disponibil pentru un num�r mare de utilizatori cu nivele diferite de aptitudini �i tehnologii. Accesibilitatea se caracterizeaz� prin: viteza de acces la site, disponibilitate, selectivitate, reg�sire cu ajutorul instrumentelor de c�utare uzuale, leg�turi c�tre alte site-uri.

g) U�urin�a utiliz�rii: se refer� la u�urin�a cu care utilizatorii pot naviga în func�ie de scopul c�ut�rii în interiorul portalului www.e-licitatie.ro �i pot g�si informa�iile sau serviciile c�utate.

h) Leg�turi (Link-uri): se refer� la furnizarea leg�turilor interne c�tre pagina principal� sau c�tre alte categorii de informa�ii sau servicii electronice din interiorul portalului www.e-licitatie.ro, sau c�tre pagini din alte site-uri web.

i) Proiectarea �i arhitectura: se refer� la organizarea �i aspectul grafic al paginilor portalului www.e-licitatie.ro.

j) Metadatele: se refer� la informa�iile necesare motoarelor de c�utare pentru a localiza portalul www.e-licitatie.ro în concordan�� cu criteriile de c�utare. Ele

45

furnizeaz� informa�ii despre informa�ii �i ajut� utilizatorul s� g�seasc� sursa informa�iilor c�utate.

k) Navigabilitatea: se refer� la facilit��ile de c�utare �i acces interactiv la informa�ii din cadrul portalului www.e-licitatie.ro oferite de instrumente specializate (browsere, motoare de c�utare). 7.3 Constat�ri rezultate din testarea controalelor specifice pentru evaluarea portalului www.e-licitatie.ro 7.3.1 Evaluarea portalului www.e-licitatie.ro Rezultatele testelor asupra portalului www.e-licitatie.ro au fost ob�inute prin demonstrarea func�ionalit��ii sistemului e-licita�ie de c�tre personalul de specialitate din ASSI �i prin testarea zonei publice accesibile pe Internet f�r� a fi necesar� autentificarea.

Utilizatorii interac�ioneaz� cu site-ul web pentru satisfacerea urm�toarelor cerin�e: consultarea informa�iilor afi�ate pe portalul e-licita�ie, autentificare, desc�rcarea formularelor �i a documentelor aferente aplica�iei e-licita�ie, completarea formularelor, transmiterea formulare completate, consultarea rapoartelor afi�ate pe portal.

Tipul �i structura site-ului web sunt adecvate scopului �i cerin�elor utilizatorilor, ace�tia având la dispozi�ie atât instrumentele, formularele �i documentele necesare desf��ur�rii procedurilor electronice, cât �i asisten�� online din partea furnizorului (help contextual, mesaje de avertizare, mesaje de confirmare, utilizarea listelor de selec�ie, documenta�ie online, forum de discu�ii).

Formularele electronice, disponibile pentru completare, respect� formatele cerute de reglement�rile în vigoare �i sunt compatibile cu formatele utilizate în cadrul de lucru european.

Arhitectura este conceputa prin gruparea informa�iilor intr-o manier� accesibil� utilizatorilor pentru asigurarea identific�rii facile a informa�iilor c�utate. In acest sens, Meniul de baz� con�ine titluri sugestive ale categoriilor de informa�ii (sec�iuni).

Portalul www.e-licitatie.ro se identific� cu u�urin�a prin publicarea siglei �i a denumirii serviciului public electronic, iar paginile care îl compun poarta în titlu sigla �i denumirea institu�iei, pentru a putea fi confirmat� în permanen�� situarea utilizatorului în interiorul sistemului.

Constatare: Portalul www.e-licitatie.ro are con�inut corect din punct de vedere lingvistic.

46

Constatare: Con�inutul necesar pentru a suporta serviciile furnizate pe portalului www.e-licitatie.ro este grupat într-o maniera logica, modul de accesare a informa�iilor bazându-se pe tehnicile clasice de navigare pe Internet. Informa�iile relevante sunt grupate dup� con�inut.

Con�inutul informa�iilor este cuprinz�tor, inteligibil �i util, meniurile sunt suficient de explicite. Aspectul paginilor este prietenos: textul, grafica, leg�turile, sistemul de navigare, aspectul �i dimensiunea textului, culoarea fundalului. Sunt folosite foarte pu�in informa�ii în format video sau audio. Partea grafic� este optimizat� pentru ca timpul de accesare �i desc�rcare a formularelor s� fie minim. S-a constatat preocuparea permanent� pentru îmbun�t��irea formei �i a con�inutului.

In zona public� sunt accesibile informa�ii legate de anun�uri �i rezultate privitoare la achizi�iile publice ini�iate prin procedura electronic�, precum �i informa�ii aferente procedurilor de atribuire. Versiunea actual� a sistemului prelucreaz� urm�toarele categorii de anun�uri: anun�uri de inten�ie publicate, anun�uri de participare publicate, anun�uri de atribuire publicate, anun�uri de concurs (solu�ii), concesionari, rezultate concurs de solu�ii.

Pentru fiecare tip de anun� introdus în sistem sunt afi�ate listele cu autorit��ile contractante. Prezen�a în list� reprezint� �i confirmarea c� informa�iile transmise de utilizator au fost introduse în sistem �i au fost incluse în fluxul de prelucrare impus de procedura electronic�. Listele cu autorit��ile contractante sunt afi�ate în zona public� a sistemului �i con�in urm�toarele informa�ii: denumire contract, autoritate contractant�, termen (data publicare, data limit� participare).

In versiunea actual� a sistemului, procedurile de atribuire se refer� la: cereri de ofert�, cump�r�ri directe, licita�ii electronice prin procedura offline.

In zona public� sunt utilizate acelea�i formate de prezentare a informa�iilor care sunt utilizate de aplica�ia propriu-zis�. In Anexa I sunt prezentate informa�iile referitoare la anun�uri �i la procedurile de atribuire, care au fost extrase din zona public� a portalului www.e-licitatie.ro.

Constatare: Site-ul web aferent componentei e-licitatie este structurat într-o manier� logic� �i util�, pentru a facilita navigarea.

Gruparea �i ierarhizarea logic� a con�inutului sunt adecvate acestui tip de aplica�ie. Metodele de grupare utilizate sunt: alfabetic�, cronologic�, geografic�, bazate pe utilizator, bazate pe activit��i, audien�a (indivizi, afaceri, guvern), leg�turi cu alte grupuri de informa�ii (link-uri c�tre ANRMAP, Guvern, etc.), etichetarea paginilor web, harta site-ului).

Utilizatorii în�eleg modul de accesare a informa�iilor. Pentru eventuale nel�muriri, foarte rare în prezent, se utilizeaz� forum-ul de discu�ii existent pe web-

47

site, comunicarea problemelor prin e-mail sau prin telefon. In perioada de lansare a aplica�iei num�rul utilizatorilor care apelau la aceste servicii era mare, �i, se datora, în principal, reticen�ei acestora fa�� de noile instrumente de lucru impuse de noua versiune a Sistemului e-licita�ie.

Structura site-ului web aferent componentei e-licita�ie este suficient de cuprinz�toare �i menu-urile sunt explicite.

Testarea intern� a site-ului web aferent componentei e-licita�ie a fost efectuat� ini�ial cu un grup de utilizatori proprii �i cu utilizatori selecta�i dintre beneficiarii versiunii anterioare a sistemului e-licita�ie. Aceast� etap� a fost urmat� de validarea în exploatare curent�.

Obiectivele website-ului aferent componentei e-licita�ie �i serviciile care trebuie monitorizate �i evaluate sunt consistente cu necesit��ile utilizatorilor. Evaluarea �i monitorizarea serviciilor se realizeaz� pe baza unor filtre pentru detectarea �i semnalarea incidentelor.

Constatare: Atât conducerea cât �i persoanele responsabile din fiecare direc�ie monitorizeaz� �i evalueaz� site-ul web în mod constant, localizeaz� r�spunderea în ceea ce prive�te informa�iile publicate pe site.

Cu toate c� arhitectura website-ul entit��ii permite o monitorizare �i urm�rire a traficului desf��urat pe site, furnizând statistici privind utilizarea portalului, institu�ia nu a formulat, implementat �i derulat proceduri formale de evaluare a portalului, din punct de vedere al gradului de satisfacere a necesit��ilor utilizatorilor care s� precizeze: definirea rolurilor �i a responsabilit��ilor, specificarea sistemului de monitorizare, stabilirea evalu�rilor periodice, stabilirea sistemului de raportare �i de identificare a r�spunderii.

Sarcinile privind monitorizarea �i evaluarea website-ului aferent componentei e-licita�ie au fost alocate dinamic, prin decizii luate ad-hoc privind definirea rolurilor �i stabilirea responsabilit��ilor sau decurg din atribu�iile înscrise în fi�a postului.

Sunt prev�zute facilit��i de monitorizare �i evaluare pentru serviciile referitoare la utilizarea supravegherii on-line, focalizarea pe anumite grupuri, test�ri efectuate de utilizatori, statistici privind site-ul web, software de raportare web, mecanisme de feedback pentru utilizatori). Nu au fost elaborate �i implementate proceduri formale pentru monitorizarea �i evaluarea acestor servicii. Se aplic� metoda supravegherii on-line, prin intermediul SMTP (Simple Mail Transfer Protocol) starea se transmite la un server central iar incidentele sunt tratate. Activit��ile de evaluare �i monitorizare sunt realizate în concordan�� cu principiile de confiden�ialitate. Sunt semnate angajamente de confiden�ialitate ale angaja�ilor implica�i.

48

Utilizatorul este informat despre categoriile de informa�ii colectate, scopul colect�rii informa�iei, cine are acces la informa�ie �i unde va fi memorat�. In sec�iunea Termeni �i condi�ii de pe website sunt precizate astfel de detalii.

In ceea ce prive�te site-ul web s-au f�cut urm�toarele constat�ri: • Informa�iile din Home page referitoare la identificarea organiza�iei,

reflectarea necesit��ilor sau a cerin�elor, integrarea unor simboluri care reprezint� entitatea (culori, sigle) sunt relevante.

• Navigarea este facilitat� de modalit��i de reg�sire a informa�iilor, de localizarea pozi�iei utilizatorului în site la un moment dat.

• Sunt implementate func�ii adecvate de identificare �i c�utare a informa�iei.

• Reg�sirea informa�iei este focalizat� pe utilizator. Con�inutul este inteligibil �i util pentru utilizator.

• Performan�a tehnologic� a sistemului, la nivelul operatorului, este asigurat�. Cerin�ele minimale pentru utilizatorii externi sunt precizate pe site.

• Accesibilitatea este asigurat� prin tehnici de reg�sire adecvate �i prin tehnologii de asistare a clien�ilor pentru utilizarea site-ului web (manuale online, help contextual, helpdesk).

7.3.2 Furnizarea formularelor online în Sistemul e-licita�ie

A. Importan�a formularelor electronice �i necesitatea de a adopta strategii �i tehnici pentru managementul acestora

Informa�ia con�inut� în formulare este utilizabil� numai dac� este înregistrat� corect �i poate fi identificat� �i accesat� ori de câte ori este nevoie. Inregistr�rile electronice nu au form� "fizic�", pot fi accesate, �terse, duplicate, alterate, f�r� a l�sa urme (în condi�iile utiliz�rii re�elelor �i a Internetului), de oriunde în lume.

Implementarea unui sistem de gestiune a formularelor electronice ridic� o serie de probleme speciale �i impune implementarea unui cadru metodologic, procedural �i tehnic aparte, care pune accent, în egal� m�sur� pentru proprietar, �i pentru utilizator, pe urm�toarele aspecte:

1. Autenticitatea înregistr�rilor electronice 2. Implementarea politicilor �i procedurilor pentru controlul înregistr�rilor

electronice; 3. Implementarea unei structuri de management adecvate pentru asigurarea

suportului (asisten�ei) pentru managementul formularelor electronice �i pentru monitorizarea conformit��ii cu politicile �i procedurile existente;

49

4. Implementarea unor controale tehnice adecvate pentru protejarea confiden�ialit��ii, integrit��ii �i disponibilit��ii informa�iilor con�inute în înregistr�rile electronice;

5. Implementarea unui management adecvat al înregistr�rilor electronice.

Sistemul e-licita�ie efectueaz� o serie de opera�iuni care nu furnizeaz� dovezi pe suport de hârtie, informa�iile surs� sunt ini�iate electronic sau generate direct de sistemul informatic, f�r� o autorizare specific� a tranzac�iilor individuale.

Sistemul produce rapoarte pe suport de hârtie care con�in numai valori sintetice, în timp ce detaliile care sus�in respectivele valori sunt re�inute în fi�ierele aplica�iei.

Subiectele generice avute în vedere în cadrul misiunii de audit în ceea ce prive�te sistemul de management al documentelor electronice se refer� la urm�toarele aspecte:

a) cerin�e legale: privind p�strarea înregistr�rilor, furnizarea probelor pentru audit, în format electronic;

b) aplicarea standardelor �i a codurilor de bune practici recunoscute, a metodelor de management al eviden�elor electronice (organizarea p�str�rii înregistr�rilor entit��ii), coroborat� cu politici �i proceduri adecvate.

Lista informa�iilor/formularelor/documentelor aferente componentei e-licita�ie con�ine toate formularele prev�zute de legisla�ia în vigoare. IGCTI a participat la elaborarea normelor specifice SEAP �i a formulat propuneri privind utilizarea formularelor standard UE, pentru a se asigura atât standardizarea �i compatibilitatea cu formatele de prezentare europene cât �i facilitarea gener�rii unor rapoarte în timp real c�tre Jurnalul Oficial al Uniunii Europene (OJEU) �i c�tre ANRMAP. Aceste propuneri au fost aprobate de ANRMAP.

Anun�urile pentru care OUG nr. 34/2006 impune obliga�ia public�rii în Jurnalul Oficial al Uniunii Europene se redacteaz� de c�tre autoritatea contactant� într-o limb� oficial� a UE �i trebuie s� respecte forma adoptat� prin Regulamentul Comisiei Europene nr. 1564/2005, care stabile�te formatul standard al anun�urilor publicate în cadrul procedurilor de atribuire prev�zute în directivele 17/2004/CE �i 18/2004/CE.

Utilizatorul este ghidat în cadrul website-ului pentru a g�si informa�iile �i pentru a preveni completarea unor informa�ii selectate incorect. Sunt furnizate link- uri in paginile principale relevante. Nu au fost constatate dificult��i în ceea ce prive�te reg�sirea informa�iilor pe website �i nici în ceea ce prive�te reg�sirea informa�iilor, formularelor, documentelor sau raportelor aferente componentei e-licitatie.

Integritatea informa�iilor, a formularelor on-line �i a documentelor aferente Sistemului e-licita�ie este garantat� de arhitectura de securitate, prin serviciile de securitate, care nu permit accesul la informa�iile din sistem decât prin

50

autentificarea proprietarului datelor �i astfel protejeaz� validitatea informa�iilor fa�� de tentativele de deteriorare.

Informa�iile, formularele �i documentele on-line sunt consistente unele cu altele �i cu formularele tip�rite. Sunt utilizate acelea�i formate �i aceea�i terminologie pentru câmpuri.

Formularele on-line utilizate în Sistemul e-licita�ie au formatele prev�zute de legisla�ia în vigoare armonizate �i aliniate la formatele standard UE. Se respect� forma adoptat� prin Regulamentul Comisiei Europene nr. 1564/2005, care stabile�te formatul standard al anun�urilor publicate în cadrul procedurilor de atribuire prev�zute în directivele 17/2004/CE �i 18/2004/CE

Din punctul de vedere al facilit��ilor de interac�iune, informa�iile sunt accesibile tuturor utilizatorilor, fiind incluse facilit��i diverse pentru o aceea�i func�ie (de exemplu includerea unor butoane alternative pentru "click", pentru utilizatorii care nu au mouse, pentru ca ace�tia s� nu fie exclu�i). Sunt folosite tehnici de tipul listelor de selec�ie pentru introducerea unor informa�ii predefinite. In cadrul complet�rii interactive este verificat� logica r�spunsurilor �i se afi�eaz� mesaje de avertizare în situa�iile în care informa�iile introduse nu satisfac condi�iile. A fost prev�zut� o facilitate care s� permit� ca utilizatorii s�-�i exprime opinia în leg�tur� cu dificultatea complet�rii formularelor online (prin intermediul unui chestionar de evaluare a reac�iilor utilizatorilor, în format electronic).

Asigurarea c� informa�iile provin de la persoana care le-a transmis este dat� de certificatul digital. In plus, aplica�ia emite un mesaj care avertizeaz� utilizatorul, înainte de publicarea anun�ului, în leg�tur� cu r�spunderea acestuia.

Nu exist� riscul ca un formular s� poat� fi completat de o persoan� în numele altei persoane, acest risc fiind de asemenea prevenit de obligativitatea autentific�rii prin certificat digital. Exist� procedur� de tratare a situa�iilor generate de distrugerea, pierderea sau furtul calculatorului pe care este înregistrat cerificatul digital, sau de uitare a parolei.

Dac� utilizatorii au probleme cu transmiterea electronic�, se propune acestora transmiterea formularului printr-o metod� alternativ�, care const� în accesarea portalului de pe alt calculator, cu acela�i certificat digital.

Confirmarea c� formularul completat a fost acceptat în sistem este dat� de reg�sirea imediat� a acestuia în lista de anun�uri publicate (publicarea imediat� a acestuia) înso�it� de un e-mail de confirmare. Dac� formularul nu este completat corect se transmite un mesaj utilizatorului.

Utilizatorul cunoa�te ce pa�i vor fi urma�i dup� transmiterea formularului �i care este timpul de r�spuns: anun�ul se public� imediat în SEAP dac� nu este necesar

51

avizul ANRMAP sau se a�teapt� avizul în termenul stabilit de lege. Dac� se dep��e�te termenul stabilit de lege, textul din lista afi�at� pe portal este colorat în ro�u (pentru a se aten�iona dep��irea de termen). ANRMAP are component� proprie, privat�, în SEAP. Se înregistreaz� ca orice utilizator, dar are un meniu propriu, personalizat �i drepturi privilegiate. 7.3.3 Navigarea în cadrul portalului e-licita�ie Navigarea în cadrul portalului se realizeaz� prin link-uri, text �i submeniuri, traseul parcurs poate fi u�or identificat, utilizatorul este informat cu privire la pozi�ia unde se afla în cadrul site-ului. Site-ul este compatibil cu diferite versiuni de browsere (Internet Explorer, Mozilla, Opera, Netscape, Firefox), astfel c� accesibilitatea nu este restric�ionat� pentru anumite categorii de utilizatori.

Utilizatorii pot determina unde se afl� în cadrul website-ului, înl�n�uirea paginilor fiind logic� �i având asociat� o hart� a site-ului. Fiecare pagin� are în antet sigla aplica�iei, astfel încât acesta s� �tie în orice moment unde se afl�. Pentru navigarea în cadrul portalului www.e-licitatie.ro este disponibil un cadru de asistare a utilizatorului (prezentarea structurii, plasarea elementelor de navigare, ghidare online). Metodele de navigare utilizate în site-ul web sunt de tip: icon, link, text, submenu.

Utilizatorii pot determina care este website-ul pe care se afl� la un moment dat: se afi�eaz� în cadrul paginii sigla portalului e-licitatie �i denumirea sistemului. Nu exist� riscul de e�ec dac� utilizatorul nu intr� în website prin pagina "home", ci printr-un link sau prin intermediul unui motor de c�utare, de exemplu portalul www.e-guvernare.ro.

Utilizatorii sunt ghida�i pentru a putea avansa dup� ce au g�sit o pagin�: la un nivel mai înalt pentru a avea o privire de ansamblu, la un nivel mai jos pentru a ob�ine detalii, c�tre informa�ii asociate în website sau în alte website-uri.

Constatare: Lista nout��i nu se reg�se�te în pagina principal� �i nici nu este men�ionat� în harta site-ului, accesul la aceasta f�cându-se printr-un artificiu ne cunoscut utilizatorului. Lista nout��i con�ine �i leg�tura c�tre un program Demo, care este furnizat utilizatorilor pentru a demonstra facilit��ile �i pentru a simula func�ionarea Sistemului e-licita�ie în mediu de test. Recomandare: Includerea facilit��ii de accesare din pagina principal� a manualului de prezentare pentru Sistemul e-licita�ie, a programului Demo �i a listei de nout��i.

Constatare: Pe portalul e-licita�ie sunt disponibile informa�ii referitoare la modul de completare sau la pa�ii ce trebuie urma�i, utilizatorul fiind asistat online. Pentru

52

portalul e-licita�ie se asigur�, de asemenea asisten�� de tip help desk. Intr-un num�r redus de cazuri se folosesc metode de asisten�� a utilizatorilor sub form� de call center (apel telefonic taxabil). 7.3.4 Arhivarea resurselor web In cadrul institu�iei este stabilit� �i documentat� responsabilitatea p�str�rii înregistr�rilor site-ului web, în condi�iile legii. Sunt stabilite prin fi�ele de post, atribu�ii pentru autorii de con�inut digital, administratorul site-ului web, personalul IT, administratorul de re�ea, administratorul datelor.

Constat�ri: (a)- A fost implementat un sistem de achizi�ie �i stocare a înregistr�rilor web care s� asigure c� resursele web sunt arhivate �i accesibile în orice moment. In general, informa�iile se arhiveaz� pe suport magnetic, con�inutul întregului site web este arhivat periodic tot pe suport magnetic, iar pe un alt calculator se salveaz� o replic� a imaginii întregului site. Datele sunt salvate (tape library) �i p�strate în formatul generat de utilizator. Stocarea înregistr�rilor web asigur� reconstituirea site-ului web ori de câte ori este necesar.

(b)- Având în vedere c� sistemul de conservare a înregistr�rilor este bazat pe replicare, nu este implementat� o tehnologie care s� utilizeze metadate (metadatele reprezint� informa�ii structurate ata�ate resurselor bazate pe web, care permit reg�sirea, gestionarea, controlul �i în�elegerea înregistr�rilor. Acestea reprezint� informa�ii descriptive asociate înregistr�rilor).

(c)- Nu au fost implementate proceduri specifice pentru managementul dependen�ei de infrastructura hardware / software (inclusiv pentru mediile de stocare).

(d)- S-a realizat instruirea adecvat� a personalului implicat în gestionarea înregistr�rilor electronice.

(e)- Nu au fost implementate proceduri formale pentru planificarea în vederea degrad�rii morale a tehnologiilor, utilizarea unor standarde aplicate pe scar� larg�, implementarea m�surilor de securitate pentru protejarea înregistr�rilor împotriva alter�rii deliberate sau accidentale, asigurarea unui mediu de control �i de monitorizare.

(f)- Nu au fost implementate proceduri formale pentru asigurarea accesibilit��ii pe termen lung înregistr�rilor bazate pe web,:

• managementul înregistr�rilor: verificarea �i reîmprosp�tarea periodic� a mediilor de stocare;

• b) planificarea în perspectiva degrad�rii morale a tehnologiilor: asigurarea c� înregistr�rile pot fi copiate, reformatate sau migrate;

53

• c) utilizarea unor standarde aplicate pe scar� larg�; • d) implementarea m�surilor de securitate pentru protejarea

înregistr�rilor împotriva alter�rii deliberate sau accidentale; • e) asigurarea unui mediu de control �i monitorizare.

7.3.5 Managementul con�inutului Tipurile de con�inut gestionate de entitate sunt: text, grafic, multimedia, aplica�ii �i alte componente software, con�inut tranzac�ional pentru generarea dinamic� a paginilor web, fi�iere care pot fi desc�rcate (.pdf, .rtf, .doc, .xls).

Constat�ri: (a)- Au fost efectuate analize (în general analize informale) cu privire la implica�iile pe care le are extinderea proceselor pe site-ul web asupra proceselor de management al con�inutului. Nu au fost semnalate probleme legate de managementul problemelor sau al capacit��ii.

(b)- Institu�ia nu are procesele de management al con�inutului, documentate pentru toate tipurile de con�inut web.

(c)- Managementul con�inutului este focalizat pe stabilirea proceselor de management al con�inutului viabil: utilizabil, corect, actualizat. Aceasta se realizeaz� pe baza unor sarcini de serviciu alocate personalului. Nu se constat� existen�a unei politici formale, documentate, însu�ite de personalul IT.

(d)- Nu au fost implementate formal standarde în ceea ce prive�te: confiden�ialitatea, securitatea, accesibilitatea, publicarea pe web, arhivarea, linii directoare pentru managementul con�inutului.

(e)- Nu au fost implementate proceduri care s� asigure ghidarea în ceea ce prive�te revizuirea con�inutului (frecven�a revizuirilor, modul de finalizare în condi�ii de performan��).

(f)- Cerin�ele privind memorarea �i arhivarea con�inutului pentru a reconstitui schimb�rile versiunilor site-ului web �i a asigura accesul la versiunile anterioare sunt satisf�cute, în general, prin salvare în ordine cronologic�, existând astfel posibilitatea reconstituirii versiunilor succesive.

(g)- Nu a fost documentat un proces de prelucrare a feedback-ului primit de la clien�i pe site-ul web sau prin intermediul altor servicii electronice. Cu toate c� acest proces nu este documentat, sesiz�rile �i sugestiile afi�ate pe forum sau primite prin e-mail sunt analizate �i rezolvate operativ. Având în vedere importan�a deosebit� acordat� calit��ii serviciilor furnizate �i satisfacerii exigen�elor clien�ilor, au fost colectate, pe baz� de chestionar, opinii cu privire la sistemul electronic de achizi�ii publice.

54

(h)- Au fost asigurate condi�ii tehnice privind re�inerea �i disponibilizarea înregistr�rilor pentru a putea fi revizuite periodic, dar nu au fost elaborate în mod formal proceduri pentru efectuarea acestor opera�iuni.

(i)- Nu au fost implementate proceduri referitoare la procesele de distrugere a înregistr�rilor programate a fi distruse (distrugere logic� pentru mediile care nu pot fi �terse; distrugere fizic� pentru medii de memorare de pe care s� nu se poat� reconstitui informa�ia), inclusiv proceduri care trebuie s� specifice num�rul de suprascrieri care se poate face pe un mediu magnetic de memorare pentru a asigura distrugerea total� a înregistr�rilor.

(j)- Nu au fost implementate proceduri referitoare la prevenirea pierderii deliberate sau accidentale a înregistr�rilor electronice: p�strarea integrit��ii fi�ierelor prin utilizarea unor medii care nu pot fi �terse sau prin intermediul unor controale specifice care s� asigure un înalt nivel de protec�ie pentru gestionarea întregului fond de date electronice: înregistr�ri, piste de audit, volume de medii de memorare.

7.3.6 Riscuri specifice identificate pentru sistemele de management al documentelor electronice aplicabile la Sistemul e-licita�ie Având în vedere orientarea pe ciclul de via�� al sistemului, riscurile specifice identificate pentru sistemele de management al documentelor electronice sunt:

I. Riscuri în faza de achizi�ie a înregistr�rilor: achizi�ia incomplet� a datelor; pierderea integrit��íi înregistr�rilor în faza de achizi�ie a acestora; schimbarea incorect� a datelor; falsificarea deliberat� a datelor pe parcursul achizi�iei datelor (frauda la intrare); �tergerea neautorizat� a datelor; difuzarea neautorizat� a informa�iilor sensibile.

II. Riscuri de clasificare: clasificare incorect� a informa�iilor; alterarea neautorizat� a datelor; schimb�ri incorecte sau incomplete ale datelor; neînregistrarea schimb�rilor metadatelor; pierderea datelor.

III. Riscuri de utilizare: utilizare incorect� a datelor �i sistemului; ac�iuni neautorizate asupra datelor �i sistemului; ac�iuni neadecvate asupra datelor �i sistemului. Constatare: Nu s-a realizat o evaluare a riscurilor specifice sistemelor bazate pe web, care decurg din: stocarea înregistr�rilor, asigurarea accesibilit��ii pentru toate categoriile de utilizatori, cerin�ele legislative, securitatea sistemului IT.

55

CAPITOLUL 8 Evaluarea efectelor implement�rii �i utiliz�rii Sistemului e-licita�ie în ceea ce prive�te modernizarea administra�iei Evaluarea stadiului de dezvoltare, implementare �i utilizare a infrastructurilor, a instrumentelor �i tehnologiilor informa�iei �i comunica�iilor pentru furnizarea serviciului electronic de achizi�ii publice e-licita�ie, pentru institu�ii publice �i mediul de afaceri a scos în eviden�� o serie de aspecte pozitive, care reflect� utilitatea �i necesitatea perfec�ion�rii �i extinderii livr�rii �i utiliz�rii serviciului electronic de achizi�ii publice. Din momentul lans�rii �i pân� în prezent, Sistemul e-licita�ie a demonstrat c� desf��urarea achizi�iilor publice prin mijloace electronice poate contribui la cre�terea eficien�ei �i transparen�ei achizi�iilor publice. Beneficiile Sistemului Electronic de Achizi�ii Publice pot fi sintetizate astfel:

� Simplificarea procedurilor de atribuire a contractelor de achizi�ie public�;

� Oferirea de metode standardizate de lucru pentru utilizatori; � Accesul cet��enilor la informa�ii privind procesul de achizi�ii publice; � Crearea de mecanisme rapide de auditare a procesului de achizi�ie

public�; � Reducerea cheltuielilor bugetare; � Facilitarea particip�rii IMM-urilor la procedurile de atribuire a

contractelor de achizi�ie public�; � Reducerea birocra�iei �i diminuarea corup�iei; � Încurajarea dezvolt�rii comer�ului electronic în România.

Rezultatele pozitive ale sistemului românesc de achizi�ii publice electronice au fost eviden�iate �i pe plan interna�ional. Sistemul e-licita�ie a dobândit recunoa�tere interna�ional�, primind titlul de bun� practic� la nivel european (Conferin�a European� de e-Government, Como, 2003) �i la nivel interna�ional (Conferin�a Interna�ional� e-GP, Banca Mondial�, Manila, 2004), precum �i premiul Golden Link pentru cea mai inovativ� solu�ie la sec�iunea Ap�rare Interna�ional� sau Guvernare Civil�, acordat de Asocia�ia de Comunica�ii �i Electronic� a For�elor Armate (USA, 2005). De asemenea, Sistemul Electronic de Achizi�ii Publice a fost desemnat finalist la concursul e-Europe Awards 2005, Manchester (Marea Britanie). Percep�ia utilizatorilor în leg�tur� cu complexitatea Sistemului e-licita�ie este favorabil�, având în vedere maniera prietenoas� de accesare �i de navigare în interiorul portalului. Natura problemelor eviden�iate pe forum-ul de discu�ii demonstreaz� c� nu exist� dificult��i de utilizare. Cele mai multe dintre probleme se refer� la autentificare �i sunt datorate nerespect�rii procedurii.

56

Sistemul contribuie la modernizarea metodelor �i procedurilor din administra�ia public�. Fiind un sistem în timp real, impactul în eventualitatea c� acesta nu ar mai fi disponibil, ar fi semnificativ, dac� se are în vedere faptul c� în prezent sunt înregistra�i, în sec�iunea de anun�uri, peste 9000 de utilzatori (majoritatea institu�ii publice). In plus, procedurile în curs de derulare ar trebui reconstituite manual, fapt care ar induce anomalii în derularea procedurilor de achizi�ii publice, întârzieri �i pierderi substan�iale.

A fost desf��urat� o investigare privind clien�ii, pentru a stabili: a�tept�rile privind utilizarea serviciilor electronice, abord�rile preferate privind livrarea serviciilor electronice, dac� serviciile electronice sunt disponibile în general utilizatorilor �int�, satisfac�ia oferit� de serviciile electronice. S-a constatat o reac�ie pozitiv� motivat� de faptul c�:

• livrarea serviciilor electronice e-licita�ie reflect� necesit��ile clientului; • sunt respectate cerin�ele de calitate a acestui serviciu; • tranzac�iile electronice se realizeaz� în timp real �i • serviciile electronice sunt disponibile �i în afara orelor de activitate

normal�, pentru confortul utilizatorilor.

Au fost men�inute �i canalele de livrare a serviciilor tradi�ionale (procedura manual�).

Este respectat� politica de acces �i pre�uri a guvernului (HG nr.1660/ 2006 privind aprobarea Normelor de aplicare a prevederilor referitoare la atribuirea contractelor de achizitie publica prin mijloace electronice). Taxele pentru utilizatori nu sunt excesive �i nu descurajeaz� clien�ii s� opteze pentru utilizarea serviciilor electronice.

Nu sunt cerin�e speciale pentru utilizatori, de a dispune de hardware sau software specializate pentru a accesa portalul. Sunt implementate metode-suport care s� faciliteze utilizarea op�iunilor privind serviciile electronice (help contextual, asisten�� online, etc.), furnizate pe tot intervalul în care le sunt necesare clien�ilor. Cet��enii, afacerile �i alte institu�ii publice �i entit��i guvernamentale au acces simplu, u�or �i convenabil din punctul de vedere al costurilor, la serviciile publice, prin sistemul e-licita�ie. Au fost avute în vedere, în permanen��, m�suri pentru cre�terea satisfac�iei cet��enilor, acesta fiind obiectivul principal pe toat� durata de via�� a proiectului, ceea ce a generat schimb�ri ale rolului, mentalit��ii �i atitudinii utilizatorilor. Utilizatorii doresc extinderea serviciilor electronice oferite de sistemul e-licita�ie, fiind receptivi la noile metode.

Pe portalul www.e-licitatie.ro sunt afi�ate informa�ii statistice care reflect� în timp real dinamica utiliz�rii sistemului: num�rul autorit��ilor contractante, num�rul ofertan�ilor înregistra�i în sistem, num�rul anun�urilor publicate în sistem,

57

num�rul invita�iilor la cerere de ofert� publicate în sistem, num�rul anun�urilor trimise la JOUE, num�rul de produse de catalog publicate în sistem, num�rul cererilor de ofert� publicate în sistem, num�rul cump�r�rilor directe publicate în sistem, valoarea total� a achizi�iilor atribuite in sistem.

Din analiza datelor statistice furnizate pe portalul www.e-licitatie.ro, se constat� o cre�tere a valorilor indicatorilor de mai sus, începând de la zero, la 3 ianuarie 2007, când a fost lansat� oficial versiunea actual� a Sistemului e-licita�ie. De la aceast� dat�, utilizatorii au început s� se înregistreze în noul sistem �i s� deruleze proceduri de achizi�ii publice prin mijloace electronice. La data de 15 noiembrie 2007 situa�ia era urm�toarea:

� Num�rul autorit��ilor contractante înregistrate în sistem: 9029 � Num�rul ofertan�ilor înregistra�i în sistem: 9189 � Num�rul anun�urilor �i invita�iilor la cerere de ofert� publicate în

sistem: 148211 � Num�rul anun�urilor trimise la JOUE: 8569 � Num�rul produselor de catalog publicate în sistem: 24397 � Num�rul cererilor de ofert� publicate în sistem: 20268 � Num�rul cump�r�rilor directe publicate în sistem: 38917 � Valoarea total� a achizi�iilor atribuite în sistem: 115409773 LEI (Date extrase de pe portalul www.e-licitatie.ro: 15 noiembrie 2007)

Principalele efecte remarcate ca urmare a introducerii noii versiuni a Sistemului e-licita�ie sunt: � reducerea timpului afectat unor activit��i care necesit� deplas�ri, lucrul cu ghi�eul, întâlniri, discu�ii, etc., prin înlocuirea acestora cu proceduri online; � sc�derea costurilor achizi�iei având în vedere c� fluxurile tranzac�iilor au fost optimizate iar taxele pentru utilizatori nu sunt excesive; � cre�terea num�rului de utilizatori; � cre�terea num�rului de produse achizi�ionate online; � asigurarea confiden�ialit��ii prin utilizarea procedurilor de încriptare a informa�iilor sensibile; � reducerea timpului de r�spuns pentru aviz�ri �i aprob�ri din partea ANRMAP, care opereaz� direct pe portalul www.e-licitatie.ro. � asigurarea transparen�ei în efectuarea achizi�iilor publice �i prevenirea corup�iei; � sporirea eficien�ei administra�iei centrale �i locale, �i asigurarea de sprijin pentru dezvoltarea industriei �i a mediului de afaceri prin atribuirea prin licita�ie electronic� a contractelor; � asigurarea interoperabilit��ii cu ANRMAP; � asigurarea compatibilit��ii cu sistemele similare disponibile în ��rile europene.

58

Sistemul e-licita�ie ofer� mecanisme de trasabilitate a tranzac�iilor, fiind u�or de reconstituit întregul flux al procedurilor de achizi�ii publice parcurs de tranzac�ie. Aceste facilit��i pot oferi informa�ii valoroase �i un cadru de analiz� în combaterea fraudelor. Informa�iile afi�ate în zona public� a sistemului ofer� institu�iilor publice, mediului de afaceri �i cet��enilor, o imagine privind stadiul �i derularea procedurilor de achizi�ii publice de interes pentru fiecare categorie. La aceste facilit��i se adaug� transmiterea în format electronic a anun�urilor autorit��ilor contractante c�tre Oficiul pentru Publica�iile Oficiale ale Comunit��ilor Europene, în vederea public�rii acestora în Jurnalul Oficial al Uniunii Europene (JOUE). Dobândirea calit��ii de OJS eSender a permis operatorului SEAP s� faciliteze autorit��ilor contractante publicarea anun�urilor în JOUE exclusiv prin mijloace electronice.

Operatorul SEAP nu are dreptul de a publica anun�ul transmis de autoritatea contractant� sau de a-l transmite spre publicare în Jurnalul Oficial al Uniunii Europene, f�r� ob�inerea acceptului de publicare emis de c�tre ANRMAP. In cadrul portalului se asigur� interoperabilitatea cu ANRMAP, care este un utilizator privilegiat al sistemului. Operarea direct pe portal de c�tre ANRMAP, reduce substan�ial timpul de r�spuns în ceea ce prive�te aviz�rile �i aprob�rile, �i asigur� operativitate în ceea ce prive�te publicarea anun�urilor în Jurnalul Oficial al Uniunii Europene (JOUE). La întâlnirea Public of OJS eSenders meeting – July 2007, organizat� de Oficiul pentru Publica�iile Oficiale ale Comunit��ilor Europene, privind organizarea �i implementarea colec�iilor electronice de anun�uri, România a fost plasat� pe locul I cu un procentaj de 99% privind publicarea anun�urilor, prin mijloace electronice. De asemenea, ocup� o pozi�ie foarte bun� în Europa, în ceea ce prive�te transmisia anun�urilor în format XML. In anexa II, este prezentat un set de statistici publicate în cadrul întâlnirii Public of OJS eSenders meeting – July 2007, care au fost furnizate de ASSI în cadrul misiunii de audit. AUDITOR, SEF SERVICIU, Claudia Ionescu

59

Anexa I A. Anun�uri I. Anun�uri de inten�ie publicate Denumire contract Autoritate contractanta Cod CPV Denumire CPV Tip contract Data publicare Numar anunt Utilitati Cu errata Inreg/pag Lista anun�urilor de inten�ie publicate Denumire contract Autoritate contractanta Data publicare II. Anunturi de participare publicate Denumire contract Autoritate contractanta Cod CPV Denumire CPV Tip contract Data publicare Numar anunt Tip procedur� Utilit��i Cu errata

Inreg/pag Lista anun�urilor de participare publicate Denumire contract Autoritate contractanta Data publicare Data limita participare III. Anunturi de atribuire publicate Denumire contract Autoritate contractanta Cod CPV Denumire CPV Tip contract Data publicare Numar anunt Tip procedur� Utilit��i Cu errata

Inreg/pag Lista anun�urilor de atribuire publicate Denumire contract Autoritate contractanta Data publicare

60

IV. Anunturi de concurs (solu�ii) Denumire contract Autoritate contractanta Cod CPV Denumire CPV Numar anunt Data publicare Utilit��i Tip procedur� Cu errata Inreg/pag Lista anun�urilor de concurs publicate Denumire contract Autoritate contractanta Data publicare V. Concesionari Denumire contract Autoritate contractanta Cod CPV Denumire CPV Tip contract Data publicare Numar anunt Cu errata

Inreg/pag

Lista concesionarilor Denumire contract Autoritate contractanta Data publicare

VI. Rezultate concurs de solutii Denumire contract Autoritate contractanta Cod CPV Denumire CPV Numar anunt Data publicare Utilit��i Cu errata Inreg/pag Lista rezultatelor pentru concursul de solu�ii Denumire contract Autoritate contractanta Data publicare B. Proceduri de atribuire I. Cereri de ofert� Invita�ii de participare Lista invita�ii de participare Cereri de ofert� în desf��urare Lista cereri de ofert� în desf��urare Cereri de ofert� atribuite Lista cereri de ofert� atribuite Cereri de ofert� anulate Lista cereri de ofert� anulate

61

II. Cump�r�ri directe Cump�r�ri directe în desf��urare Lista cump�r�rilor directe în desf��urare Cump�r�ri directe atribuite Lista cump�r�rilor directe atribuite Cump�r�ri directe neatribuite Lista cump�r�rilor directe neatribuite III. Licita�ii electronice procedure offline Licita�ii electronice în desf��urare Vizualizare lista licitatii electronice in

desfasurare si cautare si filtrare dupa criterii de interes

Proceduri offline în deliberare Vizualizare lista proceduri offline in

deliberare cu faza de licitatie electronica si cautare si filtrare dupa criterii de interes

Proceduri offline atribuite Vizualizare lista proceduri offline atribuite

cu faza de licitatie electronica si cautare si filtrare dupa criterii de interes

62

ANEXA II

Statistici publicate în cadrul întâlnirii Public of OJS eSenders meeting – July 2007