kontrolujący

Zespół Audytu Wewnętrznego Urząd Miasta w Ostrowcu Świętokrzyskim

Czas przeprowadzonej kontroli

01.06.2015r. –17.06.2015r.

Zakres kontroli

Obszary ryzyka dotyczące bezpośrednio działalności jednostki, wytypowane
w Planie audytu na 2015 rok, tj.:

- zarządzanie,

- kontrola zarządcza,

- bezpieczeństwo informacji i ochrona danych osobowych,

- informacja i komunikacja,

- finanse,

- gospodarowanie majątkiem.

Protokół, orzeczenie, sprawozdanie, data przekazania

Protokół z narady zamykającej z dnia 19.06.2015r.: omówienie sprawozdania
oraz  przedstawienie zaleceń, rekomendacji i uwag, dotyczących funkcjonowania systemu kontroli zarządczej w Straży Miejskiej w Ostrowcu Św.

5. Wnioski, zalecenia

-                          - Dokonać szczegółowej analizy treści przepisów i procedur wewnętrznych
w zakresie ochrony informacji, w zakresie ich zgodności a wymogami zawartymi w ustawie  o ochronie danych osobowych i przepisach prawnych wydanych na jej podstawie oraz Wytycznych w zakresie opracowania i wdrożenia polityki
i Wskazówkach dotyczących sposobu opracowania instrukcji  określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, wydanych przez  generalnego Inspektora Ochrony Danych Osobowych, a następnie  wprowadzić i wdrożyć niezbędne uzupełnienia i zmiany.

-                          - Wdrożyć zmiany w Polityce i Instrukcji danych Osobowych szczególnie w zakresie zgodności nowego wykazu zbiorów danych osobowych z treścią upoważnień do przetwarzania danych osobowych poszczególnych pracowników 
i nazwami zbiorów zgłoszonych do rejestracji u GIODO oraz pozostałych brakujących elementów  określonych w $4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.042004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
im organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych.

-                          - Zapewnić system bieżącego szkolenia i udoskonalania wiedzy dla osób zaangażowanych w proces przetwarzania informacji zgodnie z zapisami Rozporządzenia  Rady Ministrów  w sprawie  Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań  dla systemów tele-informatycznych.

-                          - Opracować i wdrożyć procedurę użycia haseł zdeponowanych u komendanta  oraz opracować procedurę awaryjnego korzystania z systemów komputerowych, wprowadzić mechanizm weryfikacji zmiany tych haseł np. poprzez umieszczanie na kopertach oprócz opisu daty ostatniej jego zmiany.

-                          - Treść Metryczek komputerowych uzupełnić w zakresie oprogramowania zainstalowanego na sprzęcie o numery licencji na użytkowane systemy
i programy ( wraz z przywołaniem stosownych , potwierdzających fakt legalności  dokumentów) zgodnie z wymaganiami Rozporządzenia Rady Ministrów  w sprawie  Krajowych Ram Interoperacyjności.

-                          - Wzmocnić kontrolę wewnętrzną w zakresie prowadzenia kartotek przydziału odzieży dla poszczególnych pracowników.

-                          - W zakresie dokonywania zakupów do 1000 euro starać się przeprowadzić rozeznania cenowe nie tylko w formie telefonicznej, ale też w sposób umożliwiający wskazanie wyboru na podstawie zebranych  pisemnych ofert.

-                          - Dowody księgowe ujmować zgonie z zasadami wynikającymi z ustawy
o rachunkowości.

6. Podjęte działania

- Zostaną przeanalizowane zapisy dokumentacji związanej z ochroną danych osobowych. Dokumentacja zostanie dostosowana do obowiązujących wymogów prawnych wg wskazówek i wytycznych wydanych przez GIODO.

- Zostaną przeanalizowane zbiory zgłoszone do GIODO, oraz nastąpi weryfikacja ich z formą, sposobem oraz rodzajem przetwarzania danych. Wszelkie dane zostaną zaktualizowane na platformie GIODO. Wszelkie upoważnienia posiadane przez pracowników w zakresie przetwarzania danych osobowych zostaną dostosowane do aktualnego wykazu zbiorów danych. Zostaną nadane uprawnienia do przetwarzania danych osobowych w formie papierowej oraz elektronicznej (identyfikator użytkownika oraz posiadane uprawnienia w systemie).

- Szkolenia będą przeprowadzane okresowo podczas spotkań tematycznych
z pracownikami Straży Miejskiej przez Komendanta SM. Pracownicy, którzy pracują najwięcej z danymi osobowymi a ich praca jest kluczowa dla całej jednostki Straży Miejskiej zostaną oddelegowani na szkolenia wewnętrzne
i zewnętrzne w miarę posiadanych środków budżetowych.

- Procedura ta zostanie wykonana i wdrożona na dzień 1.09.2015r. Natomiast cały proces i powiązane z nią procedury zostaną zaktualizowane i zawarte
w nowej opracowanej dokumentacji, która będzie wdrożona jako jednolity dokument.

- Metryczki te zostaną uzupełnione o dane licencyjne w miarę posiadanych informacji. Ponieważ część oprogramowania zostało zakupionych przez UM
i przekazanych do SM celem użytkowania (BOSCH, SeeTec). Część programów posiada klucz sprzętowy (PC-Corsac). Również nie wszystkie programy posiadają klucze licencyjne (np. win8-klucz zaszyty w BIOS-ie, licencje typu MOLP,
zakup sprzętu z oprogramowaniem-oprogramowanie zostaje preinstalowane
na zakupionym komputerze, brak osobnej pozycji podczas zakupu). Proponuję
w tym przypadku sporządzenie spisu oprogramowania posiadanego przez SM, jako osobnego dokumentu wraz z datą zakupu, przekazania lub innymi dokumentami uprawniającymi do korzystania z oprogramowania.

- Zostaną opracowane bardziej przejrzyste kartoteki przydzielonych pracownikom artykułów  mundurowych , które obejmowały będą:

-          rodzaj umundurowania

-          termin jego używalności

-          pozycję dziennika faktury

-         cenę jednostkową.

- Rozeznania cenowe, przy zakupach do 1000 euro, będą prowadzone
na podstawie ofert pisemnych.

- Faktury dotyczące należności z miesiąca  grudnia, a wpływające do  straży miejskiej   w miesiącu styczniu, będą księgowane w miesiącu którego należność dotyczy  i wskazywane jako zobowiązania w sprawozdaniu  Rb-28S