dzr
ENTI SHTETËROR
I REVIZIONIT
GUARDIAN I FONDEVE PUBLIKE

Sistemi i integruar i planifikimit të burimeve që përdoret nga 40 institucione nga sektori publik është pa integrim të plotë të moduleve dhe pa mbrojtje të përshtatshme të të dhënave në sistem

25.08.2025

ENTI SHTETËROR PËR REVIZION
Njoftim për mediat

Shkup, 26.08.2025                                                                          

 

Sistemi i integruar i planifikimit të burimeve që përdoret nga 40 institucione nga sektori publik është pa integrim të plotë të moduleve dhe pa mbrojtje të përshtatshme të të dhënave në sistem

                            

"Pronësi e papërcaktuar mbi të dhënat, mungesë e politikave të sigurisë, përdorim i sistemeve operative të vjetruara, aksess VPN me fjalëkalime të përbashkëta dhe pa autentikim të dyfishtë (verifikim), si dhe kopjeruajtje (kopje rezervë) të pa përditësuara dhe integrim i pamjaftueshëm i moduleve – janë vetëm pjesë e dobësive të identifikuara që dëmtojnë sigurinë, disponueshmërinë dhe saktësinë e të dhënave financiare. Mungesa e kontroleve sistematike dhe e burimeve njerëzore me aftësi përkatëse rrit rrezikun nga aksesi i paautorizuar, dështimet teknike dhe proceset jofunksionale në institucionet përdoruese të sistemit."

 

 

Kryemë revizionin e sistemeve informative si revizion të suksesit mbi temën 'Sistemi i integruar i planifikimit të burimeve - Sistemi IPB' me qëllim t'i përgjigjemi pyetjes: “A janë identifikuar dhe implementuar masat e përshtatshme për mbrojtjen efikase dhe të plotë të të dhënave në sistemin e integruar të planifikimit të burimeve?"

Sistemi i integruar i planifikimit të burimeve (Sistemi IPB) përdoret nga Shërbimi për Punët e Përgjithshme dhe të Përbashkëta të Qeverisë së Republikës së Maqedonisë së Veriut për ekzekutim efikas dhe modern të shërbimeve kontabel-financiare për shumë institucione shtetërore. Edhe pse, Sistemi IPB është implementuar në vitin 2016, akoma mungon një akt juridik që rregullon të drejtat dhe detyrimet e Ministrisë si pronar dhe të Shërbimit si përdorues i sistemit, gjë që krijon rrezik për menaxhimin e papërshtatshëm të të dhënave.

Për shkak të planifikimit të papërshtatshëm dhe zbatimit të vonuar të procedurave të mirëmbajtjes së sistemit, për një periudhë prej 522 ditësh nuk u nënshkrua asnjë marrëveshje për rregullimin e të drejtave dhe detyrimeve për mirëmbajtjen e tij.

A screenshot of a computer

Description automatically generated

Kjo gjendje ndikon në sigurinë, disponueshmërinë dhe saktësinë e të dhënave si dhe në vështirësitë në përgatitjen e raporteve financiare për periudhat përkatëse raportuese.

Gjatë periudhës së mirëmbajtjes, nuk janë kryer aktivitete për kontrollin e rregullt të kopjes rezervë (bekap) të të dhënave duke rritur kështu rrezikun e rikuperimit të të dhënave.

Shërbimi, në marrëveshjet me të cilat rregullon të drejtat dhe detyrimet midis ofruesit dhe përdoruesve të shërbimeve kontabel-financiare nuk e definon pronësinë e të dhënave dhe nuk ka një shpërndarje të qartë të përgjegjësive.

Sistemi i integruar i planifikimit të burimeve është i regjistruar në librat kontabile të Ministrisë në shumë prej 1.294 mijë denarë më pak se vlera e tij e blerjes dhe i njëjti nuk është rritur për shumën prej 18.065 mijë denarësh (293.000 euro) për vlerën e mirëmbajtjes adaptuese të sistemit. Kjo gjendje ndikon në saktësinë e raporteve financiare dhe mund të shkaktojë probleme në planifikimin e aktiviteteve të ardhshme dhe në dhënien e shërbimeve, si dhe në cilësinë e të dhënave dhe informacioneve që paraqesin raportet financiare. Shërbimi, si përdorues i sistemit të integruar të planifikimit të burimeve që shërben subjekte juridike, nuk ka kryer aktivitete për regjistrimin e sistemit dhe të përmirësimeve të tij në regjistrin jashtë-bilancor.

Në Shërbim mungojnë dokumente strategjike që përcaktojnë qartë udhëzimet për zhvillimin, mirëmbajtjen dhe përmirësimin e sistemeve informative si dhe politika dhe procedura për menaxhimin e të dhënave, gjë që mund të çojë në menaxhim joefikas dhe cenueshmëri ndaj kërcënimeve sigurimore. Shërbimi nuk posedon dokumentacion të përditësuar të sistemit, duke përfshirë edhe konfigurimin e bazave të të dhënave.

Aksesi në sistemin IPB realizohet nga shumë lokacione përmes lidhjeve VPN. Fjalëkalimet nuk kanë kufizim kohor dhe në përgjithësi nuk ndryshohen, ndërsa administratorët përdorin emra përdoruesish të përgjithshëm.

Konfigurimi i vendosur për regjistrimin e ngjarjeve (log) në sistemin rezulton me fshirje automatike të regjistrimeve më të vjetra. Nuk ekziston lokacion për ruajtjen e gjurmës revizioni, ndërsa sistemi nuk ruan informacione për të gjitha ngjarjet, gjë që e bën të pamundur kontrollin e aksesit dhe identifikimin e aktiviteteve të paautorizuara.

Kopjet rezervë nuk konvertohen në formë të palexueshme, nuk ruhen në lokacion të jashtëm, dhe nuk ekzistojnë politika dhe procedura formale për testimin dhe rikthimin e tyre të rregullt.

Stacionet e punës përdorin sisteme operative të vjetruara pa përditësime sigurie dhe mbështetje nga prodhuesi, gjë që shkakton rrezik shtesë nga sulmet sigurimore dhe aksesi i paautorizuar. Po ashtu, konfigurimi i aksesit VPN, pa autentikim me shumë faktorë d.m.th. verifikim i identitetit përmes dy ose më shumë faktorëve të pavarur dhe me fjalëkalim të përbashkët, rrit probabilitetin për komprometimin e sistemit.

Mungesa e burimeve njerëzore ndikon në ekzekutimin në kohë dhe efikas të detyrave, me largimin e vazhdueshëm të punonjësve për shkak të pensionimeve dhe mungesë të punonjësve me aftësi dhe njohuri përkatëse, si më poshtë:

A number on a blue background

Description automatically generated

Te Sistemi IPB mungon integrimi i plotë i moduleve brenda sistemit, si dhe përdorimi i paplotë i funksionaliteteve ekzistuese të sistemit, duke çuar kështu në pamundësinë për automatizim të proceseve. Kjo krijon nevojë për futje të dyfyshuar të të dhënave, duke rritur kështu rrezikun nga gabimet dhe joefikasitetin.

Shtesë, dy nga modulet që janë të destinuara për ndjekjen e realizimit të kontratave dhe për punën buxhetore asnjëherë nuk përdoren.

Gjithashtu kemi konstatuar gjendje që lidhen me:

A blue and white text box

Description automatically generated with medium confidence

Evidentimi i vonuar i detyrimeve në momentin e paraqitjes së tyre, domethënë faturat dhe dokumentacioni shoqërues i tyre regjistrohen në sistem vetëm pas miratimit të tyre për pagesë, gjë që nuk mundëson regjistrimin kronologjik të ndryshimeve financiare. Kjo qasje rrit rrezikun e evidentimit të paplotë të detyrimeve dhe ndikon në saktësinë e raporteve financiare dhe të raporteve të gjendjes financiare, si dhe në cilësinë e të dhënave dhe informacioneve që ato ofrojnë.

Për të tejkaluar gjendjet e përmendura, kemi dhënë rekomandime me qëllim që të ndërmerren veprime me të cilat do të krijohen kushtet për mbrojtjen e të dhënave, me përcaktimin e qartë të drejtave dhe detyrimeve të institucioneve përdoruese të sistemit, vendosjen e konfigurimeve të përshtatshme të sigurisë për hyrje dhe integrimin e kontroleve të sigurisë së aplikacioneve, si dhe investimin në kapacitetet njerëzore që do të sigurojnë ekzekutimin efikas të detyrave, si dhe mbrojtjen e vazhdueshme të të dhënave dhe hyrjen në burimet e sistemit të planifikimit të integruar.

 

Press kontakt:

Albiona Mustafa Muhaxhiri  +389 72228 203 [email protected] 
Mijalçe Durgutov  +389 70 358 486 [email protected] 
Martin Duvnjak    +389 75 268 517 [email protected]