NIK: Nieprawidłowości we wdrożeniu systemów IT na lubelskich uczelniach

Ocena prawidłowego i efektywnego wydatkowania środków publicznych na systemy informatyczne i teleinformatyczne w latach 2020-2025 stanowiła cel kontroli przeprowadzonej przez NIK na Politechnice Lubelskiej i Uniwersytecie Medycznym w Lublinie. W tych dwóch publicznych uczelniach lubelskich zbadano realizację umów na wdrożenie i utrzymanie dwóch systemów teleinformatycznych. Kontrola prowadzona od kwietnia do października ubiegłego roku wykazała istotne nieprawidłowości we wdrożeniu systemów informatycznych i zarządzaniu systemem bezpieczeństwa informacji, zmiany w umowie z naruszeniem prawa zamówień publicznych oraz przypadki ewidencjonowania praw majątkowych z naruszeniem ustawy o rachunkowości.

Jeden system nie działa, drugi miał opóźnienie

Odnośnie lubelskiego Uniwersytetu Medycznego, NIK ustaliła, że Zintegrowany System Informatyczny do zarządzania Uczelnią (ZSI), przyjęty odbiorem końcowym we wrześniu 2024 r., za który zapłacono łącznie 15,9 mln zł (w tym 12,1 mln zł dofinansowania ze środków UE), nie został uruchomiony do zakończenia czynności kontrolnych w październiku 2025 r. Biorąc pod uwagę harmonogram wdrożenia Zintegrowanego Systemu Informatycznego, do końca 2023 r. przewidziano wdrożenie trzech niezbędnych dla funkcjonowania komponentów systemu oraz dokonanie za nie zapłaty ze środków UE. Mimo niskiego zaawansowania prac, konieczne było wydatkowanie środków unijnych pod rygorem utraty dofinansowania. W związku z tym dokonano istotnych zmian umowy na wdrożenie z naruszeniem przepisów prawa zamówień publicznych. Następnie odebrano trzy komponenty ZSI i zapłacono wynagrodzenie dla wykonawcy, mimo faktycznego nieuruchomienia komponentów.

Ponadto kontrolerzy NIK ustalili, że we wrześniu 2024 r. dokonano odbioru końcowego systemu, potwierdzając poprawność wykonania prac oraz wykonanie przedmiotu umowy, mimo, że wykonawca nie uruchomił ZSI w zakładanym terminie. Uczelnia miała nierzetelnie koordynować i nadzorować wdrożenie, a także niewystarczająco rzetelnie wyegzekwowała od wykonawcy informację i dokumentację dotyczącą zainstalowanego oprogramowania, wchodzącego w skład ZSI.

- W przypadku drugiego systemu (do zarządzania badaniami klinicznymi) stwierdzono, że mimo jego wdrożenia i wykorzystywania zgodnie z założonymi celami, dopuszczono do opóźnień w udostępnieniu wykonawcy środowiska informatycznego i dostępu do serwerów, skutkujących przedłużeniem okresu realizacji umowy i skróceniem z 32 do 28 miesięcy terminu świadczenia przez wykonawcę usługi serwisu utrzymaniowego oraz opieki powdrożeniowej, przy niezmienionych kosztach w kwocie 190 tys. zł. W związku z opóźnieniami uczelnia dokonała także istotnych zmian umowy z naruszeniem prawa zamówień publicznych – wyjaśnia NIK.

Niesprawna aplikacja dla niepełnosprawnych i braki w ewidencji księgowej

Jeśli chodzi o kontrolę przeprowadzoną w Politechnice Lubelskiej, Najwyższa Izba Kontroli miała zastrzeżenia w zakresie aplikacji mobilnej mającej za zadanie zwiększyć dostępność kampusu uczelni dla osób z niepełnosprawnościami. Aplikacja przyjęta odbiorem końcowym, opłacona kwotą 571,9 tys. zł ze środków Unii Europejskiej, w ocenie NIK, nie spełniała wymagań w zakresie postrzegalności, funkcjonalności i zrozumiałości określonych w opisie przedmiotu zamówienia, co stanowiło naruszenie ustawy o dostępności cyfrowej. - Nie funkcjonował w aplikacji moduł wyświetlający plan zajęć i nie została ona zamieszczona w sklepach internetowych. Pomimo odbioru aplikacji, nie sporządzono i nie opublikowano deklaracji jej dostępności cyfrowej dla osób z niepełnosprawnościami, co było także niezgodne z przepisami ww. ustawy. Nierzetelnie sprawowany był też nadzór nad przebiegiem realizacji wdrożenia dwóch systemów (aplikacji mobilnej i systemu bezpieczeństwa) przez zespoły powołane przez rektora – czytamy w opracowaniu Izby.

Poza tym Najwyższa Izba Kontroli stwierdziła przypadki naruszenia ustawy o rachunkowości w zakresie prowadzenia ewidencji księgowej wartości niematerialnych i prawnych. Nieprawidłowości polegały m.in. na nieujęciu zakupionych praw majątkowych w ewidencji, ujmowaniu tych praw w ewidencji pomimo niewykorzystywania lub upływu okresu, na który zostały zakupione, zawyżeniu wartości licencji, ujmowaniu w księgach operacji gospodarczych na podstawie niezatwierdzonych dowodów księgowych czy też nieudokumentowaniu inwentaryzacji na koniec roku.

Bezpieczeństwo informatyczne do poprawy

W ocenie Izby, w obydwu uczelniach ujawniono nieprawidłowości w zakresie zarządzania systemem bezpieczeństwa informacji. Chodziło o niezgodny z przepisami okres przechowywania logów w dziennikach systemowych (obydwie uczelnie), brak kontroli administratorów infrastruktury informatycznej nad zasobami serwerowymi i maszynami wirtualnymi zlokalizowanymi w infrastrukturze uczelni oraz niezgodne z przepisami i niewystarczająco rzetelne zarządzanie uprawnieniami użytkownika w badanych systemach (Uniwersytet Medyczny).

- W wystąpieniach pokontrolnych NIK skierowała do rektorów obu uczelni 14 wniosków mających na celu poprawę zapewnienia prawidłowego i rzetelnego wdrażania i utrzymania nowych systemów teleinformatycznych, a w przypadku Politechniki Lubelskiej także przestrzegania zasad rachunkowości przy ewidencjonowaniu wartości niematerialnych i prawnych. Siedem z nich zostało zrealizowanych, a kolejnych siedem jest w trakcie realizacji. Kwoty wydatkowane na ZSI i aplikację mobilną z naruszeniem zasad należytego zarządzania finansami wyniosły ogółem 16,5 mln zł, a przypadki ewidencjonowania w Politechnice Lubelskiej praw do systemów informatycznych z naruszeniem ustawy o rachunkowości 3,1 mln zł – czytamy w podsumowaniu działań Izby.

Konieczność wzmocnienia nadzoru wewnętrznego i usprawnienia skuteczności wewnętrznych procedur dotyczących m.in rzetelnej weryfikacji wypełniania przez wykonawców wymagań określonych w zamówieniu i umowie w trakcie odbioru systemów informatycznych i teleinformatycznych (a także koordynowania prac związanych z ich wdrożeniem) stanowiła sedno rekomendacji pokontrolnych. NIK zwróciła uwagę na potrzebę weryfikacji wniosków o płatność w kontekście kwalifikowalności wydatków poniesionych na wdrożenie systemów. Co do Uniwersytetu Medycznego wnioski Izby dotyczyły także podjęcia działań zmierzających do wdrożenia ZSI zgodnie z umową.

Co istotne, konsekwencją przeprowadzonej kontroli jest skierowanie do Prokuratury Okręgowej w Lublinie dwóch zawiadomień o uzasadnionym podejrzeniu popełnienia przestępstwa polegającego na poświadczeniu nieprawdy przez osoby, które podpisały protokoły odbioru w obu uczelniach.