Sprawozdanie dotyczące sprawozdania finansowego Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji za rok budżetowy 2011 wraz z odpowiedziami Agencji.

Dzienniki UE

Dz.U.UE.C.2012.388.135

Akt nienormatywny
Wersja od: 15 grudnia 2012 r.

SPRAWOZDANIE

dotyczące sprawozdania finansowego Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji za rok budżetowy 2011 wraz z odpowiedziami Agencji

(2012/C 388/23)

(Dz.U.UE C z dnia 15 grudnia 2012 r.)

WPROWADZENIE

1.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (zwana dalej "Agencją") z siedzibą w Heraklionie została ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 460/2004(1), zmienionym rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 1007/2008(2) oraz rozporządzeniem (WE) nr 580/2011(3). Głównym zadaniem Agencji jest wzmacnianie zdolności Unii do zapobiegania problemom dotyczącym bezpieczeństwa sieci i informacji oraz reagowania na nie w oparciu o działania krajowe i unijne(4).

INFORMACJE LEŻĄCE U PODSTAW POŚWIADCZENIA WIARYGODNOŚCI

2.
Przyjęte przez Trybunał podejście kontrolne obejmuje analityczne procedury kontrolne, bezpośrednie badanie transakcji oraz ocenę kluczowych mechanizmów kontrolnych w stosowanych przez Agencję systemach nadzoru i kontroli. Elementami uzupełniającymi to podejście są dowody uzyskane na podstawie prac innych kontrolerów (w stosownych przypadkach) oraz analiza oświadczeń kierownictwa.
POŚWIADCZENIE WIARYGODNOŚCI

3. Na mocy postanowień art. 287 Traktatu o funkcjonowaniu Unii Europejskiej Trybunał zbadał roczne sprawozdanie finansowe(5) Agencji obejmujące "sprawozdanie finansowe"(6) oraz "sprawozdanie z wykonania budżetu"(7) za rok budżetowy zakończony 31 grudnia 2011 r., jak również zbadał legalność i prawidłowość transakcji leżących u podstaw tego sprawozdania.

Zadania kierownictwa

4. Jako urzędnik zatwierdzający, dyrektor realizuje dochody i wydatki budżetu zgodnie z regulaminem finansowym Agencji, na własną odpowiedzialność oraz w granicach zatwierdzonych środków(8). Dyrektor odpowiada za ustanowienie(9) struktury organizacyjnej oraz systemów i procedur zarządzania i kontroli wewnętrznej umożliwiających sporządzanie ostatecznych sprawozdań finansowych(10), które nie zawierają istotnych zniekształceń spowodowanych nadużyciem lub błędem, a także za zapewnienie legalności i prawidłowości transakcji leżących u podstaw tych sprawozdań.

Zadania Trybunału

5. Zadaniem Trybunału jest przedstawienie Parlamentowi Europejskiemu i Radzie(11), na podstawie przeprowadzonej przez siebie kontroli, poświadczenia wiarygodności dotyczącego rocznego sprawozdania finansowego Agencji oraz legalności i prawidłowości transakcji leżących u podstaw tego sprawozdania.

6. Trybunał przeprowadził kontrolę zgodnie z wydanymi przez IFAC Międzynarodowymi Standardami Rewizji Finansowej i kodeksami etyki oraz z Międzynarodowymi Standardami Najwyższych Organów Kontroli wydanymi przez INTOSAI (ISSAI). Zgodnie z tymi standardami Trybunał zobowiązany jest zaplanować i przeprowadzić kontrolę w taki sposób, aby uzyskać wystarczającą pewność, że sprawozdanie finansowe Agencji nie zawiera istotnych zniekształceń, a leżące u jego podstaw transakcje są legalne i prawidłowe.

7. W ramach kontroli stosuje się procedury mające na celu uzyskanie dowodów kontroli potwierdzających kwoty i informacje zawarte w sprawozdaniu finansowym oraz legalność i prawidłowość transakcji leżących u jego podstaw. Wybór tych procedur zależy od osądu kontrolera, w tym od oceny ryzyka wystąpienia - w wyniku nadużycia lub błędu - istotnych zniekształceń sprawozdania finansowego lub istotnej niezgodności transakcji leżących u podstaw tego sprawozdania z wymogami przepisów Unii Europejskiej. W celu opracowania procedur kontroli stosownych do okoliczności Trybunał, dokonując oceny ryzyka, bierze pod uwagę wykorzystywany do sporządzania i rzetelnej prezentacji sprawozdań finansowych system kontroli wewnętrznej oraz systemy nadzoru i kontroli wprowadzone celem zapewnienia legalności i prawidłowości transakcji leżących u podstaw tych sprawozdań. Kontrola obejmuje także ocenę stosowności przyjętych zasad rachunkowości oraz racjonalności sporządzonych szacunków księgowych, a także ocenę ogólnej prezentacji sprawozdania finansowego.

8. Trybunał uznał, że uzyskane dowody kontroli są wystarczające i właściwe, aby stanowić podstawę do wydania poniższych opinii.

Opinia na temat wiarygodności rozliczeń

9. W opinii Trybunału roczne sprawozdanie finansowe Agencji(12) rzetelnie przedstawia, we wszystkich istotnych aspektach, jej sytuację finansową na dzień 31 grudnia 2011 r. oraz wyniki jej transakcji i przepływy pieniężne za kończący się tego dnia rok, zgodnie z przepisami jej regulaminu finansowego oraz z zasadami rachunkowości przyjętymi przez księgowego Komisji(13).

Opinia na temat legalności i prawidłowości transakcji leżących u podstaw rozliczeń

10. W opinii Trybunału transakcje leżące u podstaw rocznego sprawozdania finansowego Agencji za rok budżetowy zakończony w dniu 31 grudnia 2011 r. są legalne i prawidłowe we wszystkich istotnych aspektach.

11.
Przedstawione poniżej uwagi nie podważają opinii Trybunału.

UWAGI DOTYCZĄCE ZARZĄDZANIA BUDŻETEM I FINANSAMI

12.
Podobnie jak w roku 2010, budżet Agencji wyniósł 8,1 mln euro. W porównaniu z ubiegłym rokiem wykonanie budżetu poprawiło się. Łączna wartość środków przeniesionych na 2012 r. wynosi jednak 1,1 mln euro. W tytule II (wydatki administracyjne) przeniesiono kwotę 0,2 mln euro (34 %), a w tytule III (wydatki operacyjne) - kwotę 0,8 mln euro (33 %). Tak wysoki poziom przeniesionych środków jest niezgodny z zasadą jednoroczności budżetu.

UWAGI DOTYCZĄCE KLUCZOWYCH MECHANIZMÓW KONTROLNYCH W STOSOWANYCH PRZEZ AGENCJĘ SYSTEMACH NADZORU I KONTROLI

13.
Trybunał stwierdził konieczność lepszego dokumentowania środków trwałych. Zakupy tych środków ewidencjonowane są na poziomie faktury, a nie na poziomie pozycji. W przypadku gdy na jednej fakturze ujęte są różne nowo nabyte środki trwałe, cały zakup ewidencjonowany jest w jednej pozycji wraz z łączną kwotą.

INNE UWAGI

14.
Agencja powinna poprawić przejrzystość procedur naboru pracowników. Nie podjęto żadnych stosownych kroków celem uwzględnienia zastrzeżeń co do braku przejrzystości, zgłoszonych przez Trybunał w 2010 r. Progi punktowe wymagane do zaproszenia kandydatów na rozmowę kwalifikacyjną, pytania na egzaminy pisemne i rozmowy kwalifikacyjne ani ich wagi nie zostały określone przed rozpoczęciem przeglądu kandydatur, podobnie jak progi punktowe warunkujące umieszczenie na liście odpowiednich kandydatów.

Niniejsze sprawozdanie zostało przyjęte przez Izbę IV, której przewodniczył Louis GALEA, członek Trybunału Obrachunkowego, na posiedzeniu w Luksemburgu w dniu 11 września 2012 r.

W imieniu Trybunału Obrachunkowego
Vítor Manuel da SILVA CALDEIRA
Prezes
______

(1) Dz.U. L 77 z 13.3.2004, s. 1.

(2) Dz.U. L 293 z 31.10.2008, s. 1.

(3) Dz.U. L 165 z 24.6.2011, s. 3.

(4) Do celów informacyjnych w załączniku skrótowo przedstawiono kompetencje i działania Agencji.

(5) Do sprawozdania tego dołączone jest sprawozdanie z zarządzania budżetem i finansami w ciągu roku, zawierające więcej informacji dotyczących wykonania budżetu i zarządzania nim.

(6) Sprawozdanie finansowe składa się z bilansu oraz rachunku dochodów i wydatków, rachunku przepływów pieniężnych, zestawienia zmian w aktywach netto oraz opisu istotnych zasad rachunkowości i innych informacji dodatkowych.

(7) Sprawozdanie z wykonania budżetu obejmuje rachunek wyniku budżetowego wraz z załącznikiem.

(8) Art. 33 rozporządzenia Komisji (WE, Euratom) nr 2343/2002 (Dz.U. L 357 z 31.12.2002, s. 72).

(9) Art. 38 rozporządzenia (WE, Euratom) nr 2343/2002.

(10) Zasady przedstawiania przez agencje sprawozdania finansowego oraz prowadzenia przez nie rachunkowości określone są w rozdziałach 1 i 2 tytułu VII rozporządzenia (WE, Euratom) nr 2343/2002 ostatnio zmienionego rozporządzeniem (WE, Euratom) nr 652/2008 (Dz.U. L 181 z 10.7.2008, s. 23) i w tej postaci zostały włączone do regulaminu finansowego Agencji.

(11) Art. 185 ust. 2 rozporządzenia Rady (WE, Euratom) nr 1605/2002 (Dz.U. L 248 z 16.9.2002, s. 1).

(12) Ostateczna wersja rocznego sprawozdania finansowego została sporządzona w dniu 25 czerwca 2012 r. i wpłynęła do Trybunału w dniu 2 lipca 2012 r. Ostateczna wersja rocznego sprawozdania finansowego skonsolidowana ze sprawozdaniem Komisji publikowana jest w Dzienniku Urzędowym Unii Europejskiej do 15 listopada następnego roku. Znajduje się ona na następującej stronie internetowej: http://eca.europa.eu lub http://www.enisa.europa.eu/

(13) Zasady rachunkowości przyjęte przez księgowego Komisji opierają się na Międzynarodowych Standardach Rachunkowości Sektora Publicznego (IPSAS) wydanych przez Międzynarodową Federację Księgowych, a w kwestiach nimi nieobjętych - na Międzynarodowych Standardach Rachunkowości (MSR) / Międzynarodowych Standardach Sprawozdawczości Finansowej (MSSF) wydanych przez Radę Międzynarodowych Standardów Rachunkowości.

ZAŁĄCZNIK 

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (Heraklion)

Kompetencje i zadania
Zakres kompetencji Unii według Traktatu

(art. 114)

Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą i po konsultacji z Komitetem Ekonomiczno-Społecznym, przyjmują środki dotyczące zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego.

Rynek wewnętrzny stanowi przedmiot kompetencji dzielonych między Unią a państwami członkowskimi (art. 4 ust. 2 lit. a) TFUE).

Kompetencje Agencji

(rozporządzenie (WE) nr 460/2004 Parlamentu Europejskiego i Rady)

Cele

1. Agencja rozszerza możliwości Unii, państw członkowskich oraz sektora biznesu w zakresie zapobiegania problemom dotyczącym bezpieczeństwa sieci i informacji, ich identyfikacji oraz reagowania na te problemy.

2. Agencja oferuje Komisji i państwom członkowskim pomoc i doradztwo w dziedzinie bezpieczeństwa sieci i informacji, w ramach swoich kompetencji.

3. Agencja opracowuje ekspertyzy o wysokim poziomie szczegółowości i stosuje te ekspertyzy do stymulowania szerokiej współpracy między instytucjami sektora publicznego i prywatnego.

4. Agencja wspiera Komisję (na żądanie) w technicznych pracach przygotowawczych dotyczących aktualizacji i rozwoju ustawodawstwa Wspólnoty, w dziedzinie bezpieczeństwa sieci i informacji.

Zadania

Agencja:

a) gromadzi informacje o obecnych i powstających zagrożeniach dla sieci łączności elektronicznej;

b) udziela pomocy i doradztwa Parlamentowi Europejskiemu, Komisji i organom europejskim lub właściwym organom krajowym;

c) rozszerza współpracę między podmiotami w dziedzinie swojej działalności;

d) ułatwia współpracę w zakresie wspólnych metod rozwiązywania problemów dotyczących bezpieczeństwa sieci i informacji;

e) przyczynia się do wzrostu świadomości na temat bezpieczeństwa sieci i informacji wśród wszystkich użytkowników, między innymi poprzez promowanie wymiany najlepszych bieżących praktyk, w tym metod ostrzegania użytkowników oraz poszukiwanie współdziałania między inicjatywami w sektorze publicznym i prywatnym;

f) wspiera Komisję i państwa członkowskie w ich relacjach z przemysłem;

g) śledzi rozwój norm w zakresie produktów i usług odnośnie do bezpieczeństwa sieci i informacji;

h) doradza Komisji w zakresie badań w dziedzinie bezpieczeństwa sieci i informacji oraz stosowania technologii zapobiegających powstawaniu ryzyka;

i) propaguje działania w zakresie oceny ryzyka i rozwiązań prewencyjnych;

j) uczestniczy we współpracy z krajami trzecimi i organizacjami międzynarodowymi;

k) wyraża w sposób niezależny własne wnioski i wytyczne oraz doradza w sprawach zgodnych ze swoimi kompetencjami i celami.

ZarządzanieZarząd

Po jednym przedstawicielu z każdego z państw członkowskich, trzech przedstawicieli wyznaczonych przez Komisję oraz trzech przedstawicieli bez prawa do głosowania, zaproponowanych przez Komisję i wyznaczonych przez Radę, przy czym każdy z nich reprezentuje jedną z poniższych grup:

a) branżę teleinformatyczną;

b) grupy konsumenckie;

c) ekspertów akademickich w zakresie bezpieczeństwa sieci i informacji.

Stała Grupa Udziałowców

- Trzydziestu ekspertów wysokiego szczebla, reprezentujących właściwych udziałowców, takich jak branża teleinformatyczna, grupy konsumenckie oraz eksperci akademiccy w zakresie bezpieczeństwa sieci i informacji.

- Członkowie wybierani są w drodze otwartego naboru przez Dyrektora Naczelnego, który powiadamia Zarząd o swoim wyborze i mianuje wybranych kandydatów na dwuipółroczną kadencję.

Dyrektor Naczelny

Mianowany przez Zarząd na pięcioletnią kadencję z listy kandydatów przedstawionej przez Komisję Europejską oraz po przesłuchaniu w Parlamencie Europejskim.

Kontrola zewnętrzna

Europejski Trybunał Obrachunkowy.

Audyt wewnętrzny

Służba Audytu Wewnętrznego Komisji Europejskiej.

Organ udzielający absolutorium z wykonania budżetu

Parlament Europejski działający na zalecenie Rady.

Środki udostępnione Agencji w roku 2011 (2010)Ostateczny budżet

8,1 mln euro (8,1 mln euro), z czego dotacja z Unii stanowi 100 % (100 %)

Zatrudnienie na dzień 31 grudnia 2011 r.

44 (44) stanowiska w planie zatrudnienia, w tym obsadzonych: 41 (40).

Inne stanowiska obsadzone: 13 (11) pracowników kontraktowych, 4 (2) oddelegowanych ekspertów krajowych.

Łączna liczba pracowników: 58 (53), z czego wykonujący zadania:

operacyjne: 40 (34)

administracyjne: 18 (19)

Produkty i usługi w roku 2011 (2010)WS(1)1: ENISA jako katalizator zacieśniania współpracy

Podstawowym celem pierwszego obszaru zadaniowego było wspieranie Komisji Europejskiej i państw członkowskich w rozwijaniu obecnych programów współpracy w celu zacieśniania wymiany informacji i współpracy między państwami członkowskimi. Obejmuje to dostarczanie Komisji danych i przedstawianie jej opinii w ramach pomocy w przygotowywaniu nowych przepisów oraz identyfikowanie i propagowanie dobrych praktyk na potrzeby takich przepisów. Prace te stanowiły wkład w dyskusje prowadzone w ramach europejskiego forum państw członkowskich (EFMS) i europejskiego partnerstwa publiczno-prywatnego na rzecz odporności (EP3R) oraz uwzględniają te dyskusje. Problemy do rozwiązania zostały przedstawione w innych dokumentach, zwłaszcza w komunikatach Komisji w sprawie bezpieczeństwa informatycznego (COM(2006) 251) i w sprawie ochrony krytycznej infrastruktury informatycznej (COM(2009) 251), w których podkreślono znaczenie bezpieczeństwa i odporności sieci i informacji dla utworzenia jednolitej europejskiej przestrzeni informacyjnej, a także w agendzie cyfrowej. Wraz ze wzrostem złożoności wzajemnych zależności zaburzenia w jednej infrastrukturze mogą z łatwością rozprzestrzeniać się ponad granicami (zarówno geograficznymi, jak i granicami jurysdykcji), a także przenosić się do innych infrastruktur, niosąc ze sobą konsekwencje odczuwalne w całej Europie. Ze względu na globalny charakter branży telekomunikacyjnej konieczne jest wspólne podejście do takich kwestii jak odporność i bezpieczeństwo publicznych sieci telekomunikacyjnych.

Liczba produktów: 13

WS2: Poprawa CIIP(2) i odporności na poziomie ogólnoeuropejskim

Celem drugiego obszaru zadaniowego jest pomoc państwom członkowskim we wdrażaniu bezpiecznych i odpornych systemów teleinformatycznych oraz podniesienie poziomu ochrony krytycznej infrastruktury informatycznej i krytycznych usług informatycznych w Europie.

Ten obszar zadaniowy jest ściśle powiązany z planem działania na rzecz ochrony krytycznej infrastruktury informatycznej przedstawionym w komunikatach Komisji z marca 2009 r. i marca 2011 r. Znaczna część tych prac bezpośrednio wspiera realizację celów określonych w strategii bezpieczeństwa wewnętrznego oraz w agendzie cyfrowej. Prace w dziedzinie ochrony krytycznej infrastruktury informatycznej stanowią w większości naturalną kontynuację prac prowadzonych w ramach programu prac na 2010 r.

W szczególności cele tego obszaru zadaniowego obejmują:

- wzmocnienie zdolności operacyjnych państw członkowskich poprzez pomoc odpowiednim udziałowcom w poprawie swojej wydajności i skuteczności,

- wspieranie i propagowanie ćwiczeń na poziomie ogólnoeuropejskim,

- identyfikowanie i usuwanie problemów w zakresie bezpieczeństwa informacji w ramach ochrony krytycznej infrastruktury informatycznej,

- identyfikowanie i usuwanie problemów w zakresie bezpieczeństwa sieci teleinformatycznych i sieci wzajemnie połączonych,

- wspieranie grupy roboczej UE-USA ds. bezpieczeństwa cybernetycznego i cyberprzestępczości, utworzonej w następstwie szczytu UE-USA z dnia 20 listopada 2010 r.

Liczba produktów: 16

WS3: ENISA jako promotor ochrony prywatności i zaufania

Obszar zadaniowy nr 3 obejmował cztery grupy prac:

- zrozumienie i analiza bodźców i barier finansowych dla bezpieczeństwa informacji,

- zapewnienie prawidłowego uwzględnienia kwestii prywatności, tożsamości i zaufania w nowych usługach,

- wspieranie wdrażania przepisów art. 4 dyrektywy o prywatności i łączności elektronicznej (2002/58/WE),

- działanie na rzecz ustanowienia europejskiego miesiąca bezpieczeństwa cybernetycznego.

W ramach pierwszej grupy prac przeprowadzono analizę bodźców i barier finansowych dla poprawy bezpieczeństwa informacji na poziomie ogólnoeuropejskim. ENISA przeanalizowała bodźce i bariery finansowe w obszarach prawa, polityki, techniki i edukacji oraz wskazała możliwości poprawy. W ramach drugiej grupy prac zbadano uwzględnienie kwestii prywatności, tożsamości i zaufania w nowych usługach oraz przedstawiono zalecenia dotyczące poprawy sytuacji. Celem była ocena aktualnych tendencji w zakresie ochrony prywatności osób oraz w zakresie zwiększenia zaufania do usług sieciowych.

Trzecia grupa prac obejmowała wspieranie przez ENISA wdrażania przepisów art. 4 dyrektywy o prywatności i łączności elektronicznej w ramach kontynuowania współpracy z art. 29, Europejskim Inspektorem Ochrony Danych i Komisją Europejską (DG JUST i INFSO). Celem było zbadanie sposobu praktycznego wdrożenia przepisów art. 4 na poziomie UE.

ENISA współpracowała także z państwami członkowskimi nad organizacją europejskiego miesiąca cyberbezpieczeństwa.

Liczba produktów: 5

(1) WS (ang. Work Stream) - obszar zadaniowy.

(2) CIIP (ang. Critical Information Infrastructure Protection) - ochrona krytycznej infrastruktury informatycznej.

Źródło: Informacje przekazane przez Agencję.

ODPOWIEDZI AGENCJI

12.
Trybunał potwierdził, że wdrażanie budżetu uległo poprawie w 2011 r. W celu dalszego ograniczenia przeniesień Agencja rozpoczęła planowanie swoich zamówień na 2012 r. i w ostatnim kwartale 2012 r. zdołała rozpocząć procedury zamówień związane z działalnością objętą Programem Pracy na 2012 r. Te działania powinny przynieść wyniki pod koniec 2012 r.
13.
Agencja usprawniła zarządzanie swoimi środkami trwałymi po wprowadzeniu instrumentu aktywów ABAC - modułu zarządzania aktywami wdrożonego przez Komisję i stosowanego przez instytucje i agencje. Narzędzie, o którym mowa powyżej, w pełni wdrożone i używane w 2012 r., zapewnia jednolitą identyfikację wszystkich aktywów, zatem uwaga Trybunału została w pełni wzięta pod uwagę.
14.
W dniu 2 marca 2012 r. Agencja przyjęła odpowiednie wskazówki dotyczące zatrudniania personelu, co jest w pełni zgodne z uwagami Trybunału. Te wskazówki są wydawane członkom komisji rekrutacyjnych po ich nominowaniu przez dyrektora wykonawczego.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .