ДРЖАВЕН ЗАВОД ЗА РЕВИЗИЈА
- Соопштение за медиуми -
Скопје, 25.08.2025 година
Системот за интегрирано планирање на ресурсите кој го користат 40 институции од јавниот сектор е без целосна интеграција на модулите и без соодветна заштита на податоците во системот
Недефинирана сопственост врз податоците, недостиг на безбедносни политики, користење на застарени оперативни системи, ВПН пристап со заеднички лозинки и без двојна автентикација (потврда), како и не ажурирани резервни копии и недоволна интегрираност на модулите – се само дел од утврдените слабости кои ја нарушуваат сигурноста, достапноста и точноста на финансиските податоци. Отсуството на системски контроли и човечки ресурси со соодветни вештини го зголемува ризикот од неовластен пристап, технички пропусти и нефункционални процеси во институциите корисници на системот
Извршивме ревизија на информациски системи како ревизија на успешност на тема „Систем за интегрирано планирање на ресурсите - ИПР систем” со цел да дадеме одговор на прашањето „Дали се утврдени и имплементирани мерки за ефикасна и целосна заштита на податоците во системот за интегрирано планирање со ресурсите?“
Системот за интегрирано планирање на ресурсите (ИПР систем) го употребува Службата за општи и заеднички работи на Владата на Република Северна Македонија за ефикасно и современо извршување на сметководствено - финансиски услуги за повеќе државни институции. Иако, ИПР системот е имплементиран во 2016 година, се уште отсуствува правен акт кој ги регулира правата и обврските на Министерството како сопственик и на Службата како корисник на системот, што создава ризик од несоодветно управување со податоците.
Поради несоодветно планирање и ненавремено спроведување на постапките за одржување на системот, во период од 522 дена не бил склучен договор за регулирање на правата и обврските за негово одржување.

Ваквата состојба влијае на безбедноста, достапноста и точноста на податоците, како и до потешкотии во изготвувањето на финансиските извештаи за соодветните известувачки периоди.
Во периодот на одржување не се преземени активности за редовна проверка на резервната копија (бекап) на податоците, а со тоа се зголемува ризикот од поврат на податоците.
Службата во договорите со кои ги уредува правата и обврските помеѓу давателот и корисниците на сметководствено-финансиските услуги не ја дефинира сопственоста на податоците и нема јасна распределба на одговорностите.
Системот за интегрирано планирање на ресурсите е евидентиран во деловните книги на Министерството за 1.294 илјади денари помалку од неговата набавна вредност и истиот не е зголемен за износ од 18.065 илјади денари (293.000 евра) за вредноста на адаптивното одржување на системот. Ваквата состојба влијае на точноста на финансиските извештаи и може да предизвика проблеми во планирањето на идни активности и испорака на услуги, како и на квалитетот на податоците и информациите кои го даваат финансиските извештаи. Службата, како корисник на системот за интегрирано планирање на ресурсите која опслужува правни субјекти, нема преземено активности за евидентирање на системот и неговите надградби во вонбилансна евиденција.
Во Службата недостасуваат стратешки документи кои јасно ги дефинираат насоките за развој, одржување и надградба на информациските системи, како и политики и процедури за управување со податоци што може да доведе до неефективно управување и ранливост од безбедносни закани. Службата нема ажурирана системска документација вклучувајќи ја и конфигурацијата на базите на податоци.
Пристапот до ИПР системот се реализира од повеќе локации преку ВПН конекции. Лозинките не се временски ограничени и воопшто не се менуваат, додека администраторите користат општи кориснички имиња.
Воспоставената конфигурацијата за снимање на настани (логови) во системот резултира со автоматско бришење на најстарите записи. Не постои локација за чување на ревизорската трага, а системот не зачувува информации за сите настани, што ја оневозможува контролата на пристапот и идентификацијата на неовластени активности.
Резервните копии не се претворени во нечитлива форма, не се чуваат на надворешна локација, и не постојат формални политики и процедури за нивно редовно тестирање и обновување.
Работните станици користат застарен оперативен систем без безбедносни ажурирања и поддршка од производителот, што го зголемува ризикот од безбедносни напади и неовластен пристап. Исто така, конфигурацијата на ВПН пристапот, без повеќе факторска автентикација односно потврда на идентитет преку два или повеќе независни фактори и со заедничка лозинка, ја зголемува веројатноста за компромитирање на системот.
Недостигот на човечки ресурси влијае на навремено и ефикасно извршување на задачите, со постојан одлив на вработени поради пензионирање и недостаток на вработени со соодветни вештини и знаења, и тоа како што следува:

Кај ИПР системот отсуствува интегрираност на модулите во системот како и нецелосната искористеност на постоечките функционалности на системот што доведуваат до неможност за автоматизирање на процесите. Ова создава потреба за двојно внесување на податоци, што го зголемува ризикот од грешки и неефикасност. Дополнително, два од модулиите што се наменети за следење на реализацијата на договорите и за буџетското работење воопшто не се користат.
Исто така констатиравме состојби кои се однесуваат на:

Ненавременото евидентирање на обврските во моментот на настанување, односно фактурите и нивната придружна документација се евидентираат во системот само по нивното одобрение за плаќање, што не овозможува хронолошко внесување на финансиските промени. Овој пристап го зголемува ризикот од нецелосно евидентирање на обврските и влијае на точноста на финансиските извештаи и извештаите за финансиската состојба како и на квалитетот на податоците и информациите кои ги даваат истите.
За надминување на наведените состојби дадовме препораки со цел да се преземат активности со кои ќе се создадат услови за заштита на податоците, со јасно дефинирање на правата и обврските на институциите корисници на системот, поставување на соодветни безбедносни конфигурации за пристап и интегрирање на безбедносни апликациски контроли, како и вложување во човечки капацитети кои ќе обезбедат ефикасно извршување на задачите, како и континуирана заштита на податоците и пристапот до ресурсите на системот за интегрирано планирање.
Прес контакт:
Албиона Мустафа Мухаџири +389 72228 203 [email protected]
Мијалче Дургутов +389 70 358 486 [email protected]
Мартин Дувњак +389 75 268 517 [email protected]