Kontrole zewnętrzne 2024

Audyty i kontrole

Przeprowadzone audyty:

Wyniki audytu:

Biuro Kontroli i Audytu UMWO

Termin kontroli: 15.05.2024 - 30.06.2024

Przedmiot kontroli:

Zapewnienie ochrony danych osobowych w jednostkach organizacyjnych Samorządu Województwa Opolskiego

Sprawozdanie z zadania audytowego nr. BKA-ZA.1720.1.2024.TS z dnia 16.09.2024

Zalecenia wydane w sprawozdaniach z przeprowadzonych zadań audytowych:

Sposób zrealizowania zaleceń:
 

1.W procedurach bezpieczeństwa IT należy określić obowiązek okresowego szkolenia pracowników w zakresie zagrożeń związanych z korzystaniem z poczty elektronicznej m.in. takich jak spam (niezamówione wiadomości zawierające m.in. reklamy różnych usług i produktów), wirusy, trojany, ransomwere (złośliwe oprogramowanie szyfrujące), phishing (atak, którego celem jest wyłudzenie poufnych danych użytkownika). Wypełnienie ww. obowiązku powinno być weryfikowane przez przełożonego pracownika.

Należy wprowadzić regulacje w zakresie możliwości dokonywania monitoringu bezpieczeństwa poczty email pracowników. Regulacje w tym zakresie powinny zostać opracowane zgodnie z przepisami prawa oraz odpowiednio zakomunikowane pracownikom.

Dodatkowo należy – w uwzględnieniu z dostawcą poczty email – skonsultować zakres, w jakim dokonuje on weryfikacji raportów zabezpieczeń poczty email oraz w jaki sposób oraz w jakich odstępach czasu będzie przekazywał syntetyczne wyniki dokonywanej przez siebie weryfikacji.

3. Zaleca się przypisać odpowiedzialność w zakresie monitoringu bezpieczeństwa komunikacji elektronicznej.

4. Zaleca się zastosowanie mechanizmu uwierzytelniania poczty elektronicznej DMARC (Domain-based Message Authentication Reporting and Conformance) dla domeny teatropole.pl.

5. W związku z obowiązkiem stosowania mechanizmów uwierzytelniania poczty elektronicznej, wynikającym z art. 24 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej, zaleca się wystąpić do dostawcy poczty elektronicznej o udzielenie informacji, czy przy świadczeniu usług poczty elektronicznej stosowany jest mechanizm uwierzytelnienia DKIM (Domain Keys Identified Mail).

1. Zarządzeniem 42/2024 z dnia 2.10.2024 roku wprowadzono procedurę szkolenia pracowników z zakresu ochrony danych osobowych uwzględniającą obowiązek okresowego szkolenia pracowników z zakresu bezpieczeństwa danych w tym, z zagrożeń związanych z korzystaniem z poczty elektronicznej m.in. takich jak spam, wirusy, trojany, ransomware phishing oraz obowiązek weryfikacji jego realizacji przez przełożonych pracowników.

2. Zgodnie z ustaleniami nie prowadzi się monitoringu korzystania przez pracowników z poczty elektronicznej w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. W razie planowania wdrożenia monitorowania poczty e-mail pracownika, o którym mowa w art. Art. 223 Kodeksu Pracy pracodawca zgodnie z przepisami kodeksu pracy uwzględni cele, zakres i sposoby zastosowania monitoringu w Regulaminie Pracy, nie później niż 2 tygodnie przed uruchomieniem monitorowania powiadomi pracowników oraz przekaże im na piśmie informacje o celach, zakresie i sposobie zastosowania monitoringu.

Uregulowano możliwość wprowadzenia monitoringu poczty e-mail w Regulaminie ochrony danych osobowych – Zarządzeniem 43/2024 z dnia 2.10.2024  w sprawie zmiany Regulaminu ochrony danych osobowych dla Teatru im. Jana Kochanowskiego w Opolu, gdzie Ust. 1 Zasady bezpiecznego użytkowania sprzętu IT, Pkt.12. przyjął brzmienie „ADO może monitorować pracę Użytkowników przy wykorzystaniu sprzętu IT, w celu zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, w tym poprzez monitoring służbowej skrzynki poczty elektronicznej, przy czym pracownicy objęci kontrolą są powiadomieni o tym fakcie nie później niż na dwa tygodnie przed jego uruchomieniem. Cele, zakres i sposób zastosowania monitoringu ADO przekazuje na piśmie pracownikom przed dopuszczeniem ich do pracy oraz uwzględnia w Regulaminie Pracy. Zastosowane formy monitoringu, w tym monitoring poczty elektronicznej nie mogą naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.”

Dodatkowo skontaktowano się z dostawcą poczty email – w celu konsultacji zakresu, w jakim dokonuje on weryfikacji raportów zabezpieczeń poczty email oraz w jaki sposób oraz w jakich odstępach czasu będzie przekazywał syntetyczne wyniki dokonywanej przez siebie weryfikacji.

3. W przypadku wprowadzenia monitoringu poczty e-mail odpowiedzialność w zakresie monitoringu bezpieczeństwa komunikacji elektronicznej zostanie przypisana specjaliście ds. eksploatacji.

4. W dniu 10.10.2024 zalecenie zostało wprowadzone.

5. W dniu 10.10.2024 zalecenie zostało wprowadzone.

Przeprowadzone kontrole:

Wyniki kontroli:

A) Archiwum Państwowe w Opolu

Czas trwania kontroli 25.03.2024

Przedmiot kontroli: Kontrola archiwum zakładowego

A) Protokół kontroli

B)Państwowa Inspekcja Pracy

Czas trwania kontroli 16.09.2024 r.,  21,24,28,31.10.2024 r.

Przedmiot kontroli:

Kontrola przestrzegania przepisów prawa pracy i bhp.

B) Nr rej. 110233-53-K061-Nk01/2024 Nakaz z dnia 31.10.2024

C) Biuro Kontroli i Audytu UMWO

Czas trwania kontroli 1.10.2024-18.10.2024

Przedmiot kontroli:

1.Prawidłowość zastosowania procedur przy zamówieniu umów oraz dokonywaniu i rozliczaniu wydatków, o wartości do kwoty 130.000 zł netto.

2.Sprawdzenie wykonania zaleceń pokontrolnych zawartych w wystąpieniu pokontrolnym nr BKA-RK.1711.3.2023 TB z dn. 06.06.2023

C) Wystąpienie pokontrolne nr

BKA-RK.1711.7.2024.AF z dnia 25.10.2024

Zalecenia pokontrolne z wystąpienia pokontrolnego:

Sposób zrealizowania zaleceń:

A) Brak zaleceń (nie stwierdzono nieprawidłowości, ani uchybień)

A) Brak zaleceń

B) 1.Usunąć uszkodzenia (ubytki) posadzki na korytarzach zascenicznych, z trzema kurtynami żelaznymi znajdujące się na bezpośrednim zapleczu Dużej Sceny.

2.Wyznaczyć i oznakować na korytarzach zascenicznych, z trzema kurtynami żelaznymi znajdujące się na bezpośrednim zapleczu Dużej Sceny drogi komunikacyjne i transportowe, przejścia dla pieszych, miejsca przechowywania materiałów.

Termin realizacji pkt 1 i 2:  31.12.2025

3. Zapewnić, zgodnie z odpowiednimi przepisami techniczno budowlanymi, bezpieczne dojścia do pomieszczeń pracy usytuowane przy wejściu do garderoby nr. 211. Termin wykonania 31.01.2025.

B) Pkt 1 i 2 Termin realizacji zalecenia do 31.12.2025. Teatr musi zlecić wycenę kosztów realizacji tych dwóch punktów.

Pkt. 3 Zrealizowano

C)Uwagi i zalecenia:

1. W treści Regulaminu Zamówień  Publicznych dokonać  zmian zapisów, aby procedura wyboru oferenta dotyczyła również  usług wykonywanych na podstawie umów-zleceń, umów o dzieło oraz umów kontraktowych.

2. Zaprzestać  sporządzania wykazów i wydawania zarządzeń  Dyrektora w sprawie wprowadzenia „Wykazu kwalifikowanych Wykonawców", którym może zostać  udzielone

zamówienie bez przeprowadzenia procedury wyboru wykonawcy poprzez rozeznanie rynku.

3. W przypadku konieczności odstąpienia od procedur Regulaminu Zamówień  Publicznych, stosować  zapisy zawarte w punktach 1-3 Rozdziału 1 §8 „Odstąpienie od stosowania Regulaminu".

4. Wszystkie rejestry umów sporządzane w poszczególnych pionach organizacyjnych Teatru, prowadzić  wg wzoru określonego w załączniku nr 2 do Zarządzenia Dyrektora Nr 3/2020 z dnia 07.01.2020 r.

5. Zapłaty faktur i rachunków dokonywać  po sprawdzeniu dokumentu pod względem

merytorycznym, formalno-rachunkowym oraz zatwierdzeniu do zapłaty.

6. Wyegzekwować  od radcy prawnego zamieszczanie na zawartych umowach podpisu akceptującego ich treść  - zgodnie z zapisami Rozdziału 1. §6 ust.4 Regulaminu Zamówień Publicznych

C) 1.Dokonywano zmian w Regulaminie zamówień publicznych – w postaci nowego regulaminu, w którym zostaną uwzględnione m.in. uwagi kontrolera co do zapisów odnośnie wyboru oferenta w ww. Regulaminie. Regulamin został wprowadzony zarządzeniem.

2. Teatr zobowiązał się, że nie będzie wprowadzał i stosował Wykazu kwalifikowanych Wykonawców.

3. Teatr zobowiązał się do stosowania odpowiednich procedur w sytuacji odstąpienia od stosowania Regulaminu Zamówień Publicznych (tj. każdorazowe uzasadnienie, notatka i zgoda Dyrektora).

4. Teatr zobowiązał się do stosowania jednolitego rejestru umów (centralnego i indywidualnego) na wzorach wprowadzonych zarządzeniem.

5. Teatr zobowiązał się do dokonywania zapłaty faktur i rachunków po sprawdzeniu dokumentu pod względem merytorycznym, formalno-rachunkowym oraz zatwierdzeniu do zapłaty.

6. Teatr zobowiązał pracowników i radcę prawnego do uzupełnienia umów o podpis/parafki radcy prawnego.