Sprawozdanie dotyczące sprawozdania finansowego Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji za rok budżetowy 2012 wraz z odpowiedziami Agencji.
dotyczące sprawozdania finansowego Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji za rok budżetowy 2012 wraz z odpowiedziami Agencji
(2013/C 365/24)
(Dz.U.UE C z dnia 13 grudnia 2013 r.)
WPROWADZENIE
INFORMACJE LEŻĄCE U PODSTAW POŚWIADCZENIA WIARYGODNOŚCI
| POŚWIADCZENIE WIARYGODNOŚCI | |
| 3. Na mocy postanowień art. 287 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) Trybunał zbadał: | |
| a) roczne sprawozdanie finansowe Agencji obejmujące sprawozdanie finansowe 6 oraz sprawozdanie z wykonania budżetu 7 za rok budżetowy zakończony 31 grudnia 2012 r.; jak również | |
| b) legalność i prawidłowość transakcji leżących u podstaw tego sprawozdania. | |
| Zadania kierownictwa | |
| 4. Na mocy art. 33 i 43 rozporządzenia Komisji (WE, Euratom) nr 2343/2002 8 kierownictwo odpowiada za sporządzenie i rzetelną prezentację rocznego sprawozdania finansowego Agencji oraz za zgodność z prawem i prawidłowość transakcji leżących u jego podstaw: a) Zadania kierownictwa w zakresie rocznego sprawozdania finansowego Agencji obejmują: zaprojektowanie, wdrożenie i utrzymywanie systemu kontroli wewnętrznej umożliwiającego sporządzenie i rzetelną prezentację sprawozdania finansowego, które nie zawiera istotnych zniekształceń spowodowanych nadużyciem lub błędem, a także wybór i stosowanie właściwych zasad (polityki) rachunkowości na podstawie zasad rachunkowości przyjętych przez księgowego Komisji 9 oraz sporządzanie szacunków księgowych, które są racjonalne w danych okolicznościach. Dyrektor zatwierdza roczne sprawozdanie finansowe Agencji po tym, jak zostanie ono sporządzone przez księgowego Agencji na podstawie wszystkich dostępnych informacji. Do sprawozdania finansowego księgowy dołącza oświadczenie, w którym stwierdza między innymi, czy uzyskał wystarczającą pewność, że daje ono prawdziwy i rzetelny obraz sytuacji finansowej Agencji we wszystkich istotnych aspektach. b) Zadania kierownictwa w zakresie legalności i prawidłowości transakcji leżących u podstaw rozliczeń i zgodności z zasadą należytego zarządzania finansami obejmują zaprojektowanie, wdrożenie i utrzymywanie skutecznego i wydajnego systemu kontroli wewnętrznej, w tym właściwego nadzoru, jak również podejmowanie odpowiednich działań w celu zapobiegania nieprawidłowościom i nadużyciom finansowym oraz - w razie konieczności - wszczynanie postępowań sądowych w celu odzyskania nienależnie wypłaconych lub niewłaściwie wykorzystanych środków finansowych. | |
| Zadania Trybunału | |
| 5. Zadaniem Trybunału jest przedstawienie Parlamentowi Europejskiemu i Radzie 10 , na podstawie przeprowadzonej przez siebie kontroli, poświadczenia wiarygodności dotyczą- cego rocznego sprawozdania finansowego Urzędu oraz legalności i prawidłowości transakcji leżących u podstaw tego sprawozdania. Trybunał przeprowadza kontrolę zgodnie z wydanymi przez IFAC Międzynarodowymi Stan- dardami Rewizji Finansowej i kodeksem etyki oraz z Między- narodowymi Standardami Najwyższych Organów Kontroli wydanymi przez INTOSAI (ISSAI). Zgodnie z tymi standar- dami Trybunał zobowiązany jest zaplanować i przeprowadzić kontrolę w taki sposób, aby uzyskać wystarczającą pewność, że roczne sprawozdanie finansowe Agencji nie zawiera istotnych zniekształceń, a leżące u jego podstaw transakcje są legalne i prawidłowe. 6. W ramach kontroli stosuje się procedury mające na celu uzyskanie dowodów kontroli potwierdzających kwoty i informacje zawarte w rocznym sprawozdaniu finansowym oraz legalność i prawidłowość transakcji leżących u jego podstaw. Dobór procedur zależy od osądu kontrolera, w tym od oceny ryzyka wystąpienia - w wyniku nadużycia lub błędu - istotnego zniekształcenia w rocznym sprawoz- daniu finansowym lub istotnej niezgodności transakcji leżących u podstaw tego sprawozdania z wymogami przepisów Unii Europejskiej. W celu zaprojektowania procedur kontroli odpowiednich w danych okolicznościach kontroler, dokonując oceny ryzyka, bierze pod uwagę system kontroli wewnętrznej w zakresie dotyczącym sporządzania i rzetelnej prezentacji rocznego sprawozdania finansowego oraz systemy nadzoru i kontroli wprowadzone celem zapewnienia legalności i prawidłowości transakcji leżących u podstaw tego sprawozdania. Kontrola obejmuje także ocenę stosowności przyjętych zasad (polityki) rachunkowości oraz racjonalności sporządzonych szacunków księgowych, a także ocenę ogólnej prezentacji rocznego sprawozdania finansowego. 7. Trybunał uznał, że uzyskane dowody kontroli stanowią wystarczającą i odpowiednią podstawę do wydania poświadczenia wiarygodności. | |
| Opinia na temat wiarygodności rozliczeń | |
| 8. W opinii Trybunału roczne sprawozdanie finansowe Agencji przedstawia rzetelnie we wszystkich istotnych aspektach jej sytuację finansową na dzień 31 grudnia 2012 r. oraz wyniki transakcji i przepływy pieniężne za kończący się tego dnia rok, zgodnie z przepisami jej regulaminu finansowego oraz z zasadami rachunkowości przyjętymi przez księgowego Komisji. | |
| Opinia na temat legalności i prawidłowości transakcji leżących u podstaw rozliczeń | |
| 9. W opinii Trybunału transakcje leżące u podstaw rocznego sprawozdania finansowego Agencji za rok budżetowy zakończony w dniu 31 grudnia 2012 r. są legalne i prawidłowe we wszystkich istotnych aspektach. | |
UWAGA DOTYCZĄCA MECHANIZMÓW KONTROLNYCH
DZIAŁANIA PODJĘTE W ZWIĄZKU Z ZESZŁOROCZNYMI UWAGAMI
Niniejsze sprawozdanie zostało przyjęte przez Izbę IV, której przewodniczył Louis GALEA, członek Trybunału Obrachunkowego, na posiedzeniu w Luksemburgu w dniu 15 lipca 2013 r.
| W imieniu Trybunału Obrachunkowego | |
| Vítor Manuel da SILVA CALDEIRA | |
| Prezes |
ZAŁĄCZNIKI
ZAŁĄCZNIK I Działania podjęte w związku z zeszłorocznymi uwagami
Działania podjęte w związku z zeszłorocznymi uwagami
| Rok | Uwagi Trybunału | Działania naprawcze (zrealizowane / w trakcie realizacji / niepodjęte / brak danych lub nie dotyczy) |
| 2011 | Wysoki poziom przeniesień jest niezgodny z zasadą jednoroczności budżetu. | zrealizowane |
| 2011 | Trybunał stwierdził konieczność lepszego dokumentowania środków trwałych. Zakupy tych środków ewidencjonowane są na poziomie faktury, a nie na poziomie pozycji. W przypadku gdy na jednej fakturze ujęte są różne nowo nabyte środki trwałe, cały zakup ewidencjonowany jest w jednej pozycji wraz z łączną kwotą. | w trakcie realizacji |
| 2011 | Agencja powinna poprawić przejrzystość procedur naboru pracowników. Nie podjęto żadnych stosownych kroków celem uwzględnienia zastrzeżeń co do braku przejrzystości, zgłoszonych przez Trybunał w 2010 r. Progi punktowe wymagane do zaproszenia kandydatów na rozmowę kwalifikacyjną, pytania na egzaminy pisemne i rozmowy kwalifikacyjne ani ich wagi nie zostały określone przed rozpoczęciem przeglądu kandydatur, podobnie jak progi punktowe warunkujące umieszczenie na liście odpowiednich kandydatów. | zrealizowane |
ZAŁĄCZNIK II Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (Heraklion) Kompetencje i zadania
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (Heraklion) Kompetencje i zadania
| Zakres kompetencji Unii według Traktatu (art. 114 Traktatu o funkcjonowaniu Unii Europejskiej) | Parlament Europejski oraz Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą i po konsultacji z Komitetem Ekonomiczno-Społecznym, przyjmują środki dotyczące zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego. |
| Rynek wewnętrzny stanowi przedmiot kompetencji dzielonych między Unią a państwami członkowskimi (art. 4 ust. 2 lit. a) TFUE). | |
| Kompetencje Agencji (rozporządzenie (WE) nr 460/2004 Parlamentu Europejskiego i Rady) | Cele |
| 1. Agencja rozszerza możliwości Unii, państw członkowskich oraz sektora biznesu w zakresie zapobiegania problemom dotyczącym bezpieczeństwa sieci i informacji, ich identyfikacji oraz reagowania na te problemy. | |
| 2. Agencja oferuje Komisji i państwom członkowskim pomoc i doradztwo w dziedzinie bezpieczeństwa sieci i informacji, w ramach swoich kompetencji. | |
| 3. Agencja opracowuje ekspertyzy o wysokim poziomie szczegółowości i stosuje te ekspertyzy do stymulowania szerokiej współpracy między instytucjami sektora publicznego i prywatnego. | |
| 4. Agencja wspiera Komisję (na żądanie) w technicznych pracach przygotowawczych dotyczących aktualizacji i rozwoju ustawodawstwa Wspólnoty, w dziedzinie bezpieczeństwa sieci i informacji. | |
| Zadania | |
| a) gromadzenie informacji o obecnych i powstających zagrożeniach dla sieci łączności elektronicznej; | |
| b) doradzanie Parlamentowi Europejskiemu, Komisji, organom europejskim lub właściwym organom krajowym oraz oferowanie im pomocy; | |
| c) rozszerzanie współpracy pomiędzy różnymi instytucjami działającymi w obszarze bezpieczeństwa sieci i informacji; | |
| d) ułatwianie współpracy w zakresie wspólnych metod rozwiązywania problemów dotyczących bezpieczeństwa sieci i informacji; | |
| e) przyczynianie się do wzrostu świadomości na temat bezpieczeństwa sieci i informacji wśród wszystkich użytkowników, między innymi poprzez promowanie wymiany najlepszych bieżących praktyk, w tym metod ostrzegania użytkowników, oraz poszukiwanie synergii między inicjatywami w sektorze publicznym i prywatnym; | |
| f) wspieranie Komisji i państw członkowskich w ich relacjach z przemysłem; | |
| g) śledzenie rozwoju norm w zakresie produktów i usług odnośnie do bezpieczeństwa sieci i informacji; | |
| h) doradzanie Komisji w zakresie badań w dziedzinie bezpieczeństwa sieci i informacji oraz stosowania technologii zapobiegających powstawaniu ryzyka; | |
| i) propagowanie działań w zakresie oceny ryzyka i rozwiązań prewencyjnych; | |
| j) uczestnictwo we współpracy z krajami trzecimi i organizacjami międzynarodowymi; | |
| k) wyrażanie w sposób niezależny własnych wniosków i wytycznych oraz doradzanie w sprawach zgodnych ze swoimi kompetencjami i celami. | |
| Zarządzanie | Zarząd Po jednym przedstawicielu z każdego z państw członkowskich, trzech przedstawicieli wyznaczonych przez Komisję oraz trzech przedstawicieli bez prawa głosu, zaproponowanych przez Komisję i wyznaczonych przez Radę, przy czym każdy z nich reprezentuje jedną z poniższych grup: a) branżę teleinformatyczną; b) grupy konsumenckie; c) ekspertów akademickich w zakresie bezpieczeństwa sieci i informacji. Stała Grupa Udziałowców - Trzydziestu ekspertów wysokiego szczebla, reprezentujących właściwych udziałowców, takich jak branża teleinformatyczna, grupy konsumenckie oraz eksperci akademiccy w zakresie bezpieczeństwa sieci i informacji. - Członkowie wybierani są w drodze otwartego naboru przez Dyrektora Naczelnego, który powiadamia Zarząd o swoim wyborze i mianuje wybranych kandydatów ad personam na dwuipółletnią kadencję. Dyrektor Naczelny Mianowany przez Zarząd na pięcioletnią kadencję z listy kandydatów przedstawionej przez Komisję Europejską oraz po przesłuchaniu w Parlamencie Europejskim. Kontrola zewnętrzna Europejski Trybunał Obrachunkowy. Kontrola wewnętrzna Służba Audytu Wewnętrznego Komisji. Organ udzielający absolutorium z wykonania budżetu Parlament Europejski działający na zalecenie Rady. |
| Środki udostępnione Agencji w roku 2012 (2011) | Ostateczny budżet 8,2 (8,1) mln euro, z czego dotacja Unii stanowi 100 % (100 %). Zatrudnienie na dzień 31 grudnia 2012 r. 44 (44) stanowiska w planie zatrudnienia, w tym obsadzonych: 42 (41). Inne stanowiska obsadzone: 12 (13) pracowników kontraktowych, 4 (4) oddelegowanych ekspertów krajowych. Łączna liczba pracowników: 58 (58), z czego wykonujący zadania: - operacyjne: 40 (40) - administracyjne: 18 (18) |
| Produkty i usługi w roku 2012 (2011) | WS(1) 1: Identyfikacja i reagowanie na zmieniające się środowisko zagrożeń Ocena pojawiających się zagrożeń jest koniecznym elementem przygotowania na przyszłe wyzwania. Celem tego obszaru zadaniowego było otrzymanie szeregu "oświadczeń na temat gotowości w zakresie bezpieczeństwa informatycznego" na temat różnych obszarów i inicjatyw rządowych, zwłaszcza w odniesieniu do Komisji i państw członkowskich (np. poprzez identyfikowanie pojawiających się możliwości i czynników ryzyka w ramach inicjatyw politycznych). Osiągnięto to przez ocenę pojawiających się możliwości i czynników ryzyka w zakresie obszarów i inicjatyw istotnych dla różnych społeczności udziałowców. |
| W szczególności Agencja wydała kompleksowe sprawozdanie na temat zagrożeń dla bezpieczeństwa w Europie i bardziej szczegółowe sprawozdania w dziedzinie "konsumeryzacji branży informatycznej", "przetwarzania w chmurze obliczeniowej" (ang. cloud computing) i "bezpieczeństwa zamówień publicznych". Po przeprowadzeniu analizy zarówno możliwości, jak i czynników ryzyka ENISA mogła sformułować wnioski na temat kompromisowych rozwiązań, jakie instytucje i przedsiębiorstwa będą musiały zastosować w systemach działających w czasie rzeczywistym. Takie podejście pomaga decydentom politycznym i środowiskom przedsiębiorców w pełni wykorzystać innowacyjne technologie i modele biznesowe przy równoczesnym utrzymaniu wysokiego poziomu bezpieczeństwa. Aby osiągnąć cele obszaru zadaniowego, w ramach tego podejścia w maksymalnym stopniu wykorzystano istniejące umowy o współpracy i wkład udziałowców istotnych z punktu widzenia wsparcia. | |
| Liczba produktów: siedem. | |
| WS2: Poprawa CIIP(2) i odporności na poziomie ogólnoeuropejskim | |
| Prace przeprowadzone w ramach tego obszaru zadaniowego były ściśle powiązane z planem działania na rzecz ochrony krytycznej infrastruktury informatycznej przedstawionym w komunikatach Komisji z marca 2009 r. i marca 2011 r. i stanowiły naturalną kontynuację prac prowadzonych w ramach programu prac na 2010 i 2011 r. Działania te bezpośrednio wspierały realizację celów określonych w strategii bezpieczeństwa wewnętrznego oraz w agendzie cyfrowej. | |
| Głównym celem drugiego obszaru zadaniowego była pomoc państwom członkowskim we wdrażaniu bezpiecznych i odpornych systemów teleinformatycznych oraz podniesienie poziomu ochrony krytycznej infrastruktury informatycznej i krytycznych usług informatycznych w Europie. Obejmował on szereg działań: | |
| - pomoc odpowiednim udziałowcom w poprawie poziomów ich wydajności i skuteczności, | |
| - wspieranie i propagowanie ćwiczeń na poziomie ogólnoeuropejskim, | |
| - identyfikowanie i usuwanie problemów w zakresie bezpieczeństwa informacji w ramach ochrony krytycznej infrastruktury informatycznej, | |
| - wspieranie i propagowanie europejskiego partnerstwa publiczno-prywatnego na rzecz odporności (EP3R), | |
| - identyfikowanie i usuwanie problemów w zakresie bezpieczeństwa informacji w ramach systemów kontroli przemysłowej i sieci wzajemnie połączonych, | |
| - wspieranie grupy roboczej UE-USA ds. bezpieczeństwa cybernetycznego i cyber-przestępczości, utworzonej w następstwie szczytu UE-USA z dnia 20 listopada 2010 r. | |
| Spośród powyższych działań szczególne znaczenie ma ogólnoeuropejskie ćwiczenie w dziedzinie bezpieczeństwa cybernetycznego. Drugie ćwiczenie tego rodzaju odbyło się w dniu 4 października 2012 r. i wzięło w nim udział 339 organizacji z całej UE. | |
| Liczba produktów: 13. | |
| WS3: Wspieranie zespołów CERT i innych zespołów operacyjnych | |
| Mimo że działania w ramach tego obszaru zadaniowego mają ścisły związek z pomocą zespołom CERT i ich rozwojem, pakiety prac opisane w tym dziale są również blisko powiązane z planem działania na rzecz krytycznej infrastruktury teleinformatycznej przedstawionym w komunikacie Komisji z marca 2009 r. | |
| W kwestii zespołów CERT ENISA ma na celu wspieranie państw członkowskich UE, aby zagwarantować, że ich krajowe / rządowe zespoły CERT stanowią główny element ich krajowej zdolności w zakresie gotowości, wymiany informacji, trwałej koordynacji i reagowania. Osiąga się to przez definiowanie wspólnie z odpowiednimi udziałowcami podstawowych możliwości krajowych / rządowych zespołów CERT i przez dostarczanie środków niezbędnych do osiągnięcia tych podstawowych zdolności. W szczególności cele tego obszaru zadaniowego obejmują: | |
| - wzmocnienie zdolności operacyjnych państw członkowskich przez pomoc zespołom CERT w poprawie ich wydajności i skuteczności; | |
| - wspieranie i wzmocnienie współpracy między zespołami CERT i ich współpracy z innymi zespołami. | |
| W ramach tego obszaru zadaniowego ENISA zbadała przeszkody prawne i proceduralne, z którymi mają do czynienia zespoły CERT z Europy podczas współpracy i wymiany informacji z zespołami CERT i organami ścigania z państw trzecich, i opracowała zalecenia na temat tego, jak poprawić współpracę. | |
| Liczba produktów: 10. | |
| WS4: Bezpieczeństwo gospodarki cyfrowej | |
| W zakresie tego obszaru zadaniowego ENISA zmierza do zidentyfikowania środków, które pozwolą UE odpowiednio pokierować wprowadzeniem i wdrożeniem nowych usług interoperacyjnych przy równoczesnym poszanowaniu podstawowych praw osób fizycznych i zastosowaniu bezpiecznych i wiarygodnych rozwiązań. | |
| Prace przeprowadzone w ramach tego obszaru polegały na pomocy organizacjom sektora prywatnego i publicznego w poprawie ich podejścia do kwestii bezpieczeństwa, przy jednoczesnym opracowaniu rzetelnych procedur zarządzania danymi osobowymi zgodnie z nowymi proponowanymi przepisami na temat ochrony danych. | |
| Ten obszar zadaniowy obejmuje również wsparcie dla europejskiego miesiąca bezpieczeństwa sieci i informacji dla wszystkich. | |
| Liczba produktów: osiem. | |
| (1) WS (ang. Work Stream): - obszar zadaniowy. (2) CIIP (ang. Critical Information Infrastructure Protection) - ochrona krytycznej infrastruktury informatycznej. Źródło: informacje przekazane przez Agencję. | |
ODPOWIEDZI AGENCJI
Agencja będzie przeprowadzała i dokumentowała tego rodzaju spisy co roku, aby upewnić się, że wartość aktywów jest odpowiednio przedstawiona w rocznych sprawozdaniach finansowych.
| Identyfikator: | Dz.U.UE.C.2013.365.172 |
| Rodzaj: | informacja |
| Tytuł: | Sprawozdanie dotyczące sprawozdania finansowego Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji za rok budżetowy 2012 wraz z odpowiedziami Agencji. |
| Data aktu: | 2013-07-15 |
| Data ogłoszenia: | 2013-12-13 |