Lublin, 6 grudnia 2021 r.
KA-I.1711.10.2021.JWO
Pani
Bogna Bender-Motyka Dyrektor
Muzeum Wsi Lubelskiej w Lublinie
WYSTĄPIENIE POKONTROLNE
Na podstawie art. 41 ust. 2 pkt 6 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz.U. z 2020 r. poz. 1668, z późn.zm.), zgodnie z „Planem kontroli sprawdzających na rok 2021 prowadzonych przez Departament Kontroli i Audytu Wewnętrznego”, stanowiącym załącznik Nr 5 do uchwały Nr CCXXI/4031/2020 Zarządu Województwa Lubelskiego z dnia 29 grudnia 2020 r. w sprawie przyjęcia Planu kontroli własnych w wojewódzkich samorządowych jednostkach organizacyjnych Województwa Lubelskiego na rok 2021 (z późn.zm.), w okresie od dnia 15 marca do dnia 16 lipca 2021 r.
przeprowadzona została kontrola sprawdzająca w Muzeum Wsi Lubelskiej w Lublinie.
Kontrolę przeprowadzili pracownicy Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie:
• Magda Dec-Borkowska – starszy specjalista;
• Paweł Sipta – inspektor;
• Janusz Wójtowicz – główny specjalista,
z Oddziału Kontroli Departamentu Kontroli i Audytu Wewnętrznego;
• Jacek Świestowski - główny specjalista
z Departamentu Infrastruktury i Majątku Województwa;
• Kamil Kamiński – inspektor;
• Agnieszka Pawlos – podinspektor,
z Departamentu Organizacyjno-Prawnego;
oraz pracownicy Lubelskiego Centrum Innowacji i Technologii:
• Marcin Wojtaluk;
• Paweł Dolanowski;
• Kamil Mydlak,
Zakresem kontroli objęto realizację 19 zaleceń po kontroli doraźnej, zawartych w wystąpieniu pokontrolnym z dnia 3 stycznia 2020 r. (znak: KAI.1711.9.2019.JKR), które przedstawiały się następująco: „(…)
1. Zobligować firmę świadczącą usługi ochrony do formalnego przekazywania kopii dokumentacji z przebiegu ochrony obiektów muzealnych (np. w formie aneksu do umowy).
2. Terminy płatności dotyczące organizowanych imprez kulturalno-gastronomicznych ustalać zgodnie z przyjętymi procedurami.
3. Wypłaty nagród motywacyjnych, nagród jubileuszowych, dodatków za wieloletnią pracę i jednorazowych odpraw pieniężnych w związku z przejściem na emeryturę dokonywać uprawnionym pracownikom zgodnie z postanowieniami wewnętrznego regulaminu wynagradzania, dostosowanego do przepisów regulujących wynagradzanie pracowników instytucji kultury, w szczególności ustawy z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (Dz.U. z 2018 r. poz. 1983, z późn.zm.) i rozporządzenia Ministra Kultury i Dziedzictwa Narodowego z dnia 22 października 2015 r.
w sprawie wynagradzania pracowników instytucji kultury (Dz.U. poz. 1798), mając na względzie przepisy art. 24126 § 2 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U.
z 2019 r. poz. 1040, z późn.zm.).
4. Nie zawierać umów cywilnoprawnych z własnymi pracownikami na wykonywanie czynności tożsamych z obowiązkami przyjętymi w ramach umowy o pracę.
5. Przestrzegać przyjętych przez Muzeum zasad dotyczących kontroli dowodów księgowych.
6. Rzetelnie prowadzić rejestr zamówień publicznych o wartości nieprzekraczającej 30 000 euro tak, aby zawierał wszystkie postępowania przeprowadzone w danym roku kalendarzowym.
7. Wyboru kancelarii prawnej, zapewniającej obsługę prawną Muzeum, dokonywać zgodnie z postanowieniami ustawy – Prawo zamówień publicznych lub regulacjami wewnętrznymi.
8. Dostosować zakresy czynności pracowników do faktycznie wykonywanych przez nich obowiązków.
9. Opracować mechanizm kontroli zarządczej, zapewniający efektywne przestrzeganie przez pracowników „Regulaminu udzielania przez Muzeum Wsi Lubelskiej w Lublinie zamówień, których wartość nie przekracza wyrażonej w złotych równowartości kwoty 30 000 euro”, wraz z odpowiednią dokumentacją tego procesu.
10. Określić (zarządzeniem dyrektora) sposób ewidencji wejść grup zorganizowanych na teren Muzeum. Przeprowadzić kalkulację opłacalności współpracy ze Stowarzyszeniem Przyjaciół Muzeum Wsi Lubelskiej.
11. Uregulować sposób przyjmowania przez kasę wpłat środków za usługę przewodnicką świadczoną przez Stowarzyszenie. Uaktualnić i uzupełnić zakresy czynności pracowników dokonujących obsługi kasowej.
12. Niezwłocznie przeprowadzić wykonanie najpilniejszych prac remontowych, zabezpieczających przed dalszą degradacją budynków wchodzących w skład sektora MIASTECZKO PROWINCJONALNE.
13. Sukcesywnie wykonywać prace remontowo-budowlane, w celu usunięcia przyczyn zawilgocenia i zagrzybienia budynków wchodzących w skład sektora MIASTECZKO PROWINCJONALNE.
14. Opracować długofalowy plan w zakresie wykonania niezbędnych prac remontowo- budowlanych obiektów oraz budynków administracyjnych i gospodarczych Muzeum, w celu przywrócenia lub utrzymania prawidłowego stanu technicznego tych obiektów, z podziałem na etapy według potrzeby i konieczności ich wykonania, w tym:
1) pozyskać osobę z uprawnieniami budowlanymi lub specjalistyczną firmę, dysponującą takimi osobami, w celu bieżącego nadzoru nad całością wykonania niezbędnych prac remontowo-budowlanych obiektów Muzeum;
2) określić szacunkową wartość wykonania prac remontowo-budowlanych, wskazanych w opracowanym planie (określenie szacunkowej wartości każdego etapu);
3) podjąć działania w celu pozyskania środków finansowych niezbędnych do realizacji przedmiotowego planu - z różnych źródeł finansowania;
4) składać do Marszałka Województwa Lubelskiego sprawozdania, w okresach półrocznych (do dnia 30 czerwca i do dnia 31 grudnia każdego roku), z przebiegu realizacji podjętych działań oraz z zakresu wykonanych prac remontowo-budowlanych.
15. Podjąć decyzję dotyczącą form dalszego korzystania lub wycofania się przez Muzeum ze stosowania obecnie funkcjonujących systemów: systemu sygnalizacji pożaru - SSP oraz systemu włamania i napadu - SWiN.
16. Dokonać wymaganych przeglądów środków ochrony indywidualnej według dołączonej do nich instrukcji, zgodnie z § 6 ust. 1 załącznika Nr 2 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy (Dz.U. z 2003 r. Nr 169, poz. 1650, z późn.zm.).
17. Doświetlić stanowiska pracy i przeprowadzić ponowny pomiar natężenia oświetlenia elektrycznego zgodnie z § 26 ust. 2 w/w rozporządzenia w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy.
18. Zabezpieczyć okna, aby ograniczyć olśnienie, zgodnie z pkt 9.1. lit. b załącznika rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (Dz.U. Nr 148, poz. 973).
19. W zakresie polityki bezpieczeństwa informacji, w odniesieniu do systemu informatycznego i informacji w nim zawartych:
1) odebrać uprawnienia administratora na kontach użytkowników komputerów;
2) na komputerach użytkowników zastosować mechanizm wymuszania zmiany hasła po upływie określonego czasu (np. przy użyciu Active Directory);
3) włączyć wygaszacze ekranu z opcją zabezpieczenia ekranu hasłem, po upływie określonego czasu;
4) zabezpieczyć hasłem dostęp do BIOS’u w komputerach należących do Muzeum;
5) pouczyć pracowników o konieczności przestrzegania zakazu udostępniania poświadczeń do kont i systemów teleinformatycznych;
6) wydzielić podsieć vlan dla sprzętu sieciowego (routery, switche);
7) usunąć/zablokować dostęp do urządzeń w sieci mających aktywne konta domyślne producenta (urządzenia voip i systemu monitoringu);
8) przeprowadzić aktualizację oprogramowania systemowego na urządzeniach sieciowych;
9) wycofać z użytku komputery wyposażone w system operacyjny Windows Vista;
10) dokonać przeglądu komputerów pracowników pod kontem niskiej wydajności wynikającej z niewystarczającej ilości pamięci RAM i/lub wolnych dysków talerzowych HDD. (…).”
Ustalenia kontroli
W zakresie realizacji zalecenia nr 1 stwierdzono, że choć zalecenie formalnie nie zostało zrealizowane, to w praktyce Muzeum dysponowało bieżącym dostępem do dokumentacji z przebiegu służby ochrony.
W zakresie realizacji zalecenia nr 2, stwierdzono, że zalecenie zostało zrealizowane częściowo. Niepełna realizacja wynikała z uwarunkowań pandemii covid w związku z tym zalecenie uznaje się za zrealizowane.
Zalecenia nr 3-4, 6-18 zostały zrealizowane, natomiast w zakresie realizacji zalecenia nr 5 dotyczącego przestrzegania przyjętych przez Muzeum zasad kontroli dowodów księgowych wykazano, że w próbie dokumentacji źródłowej, dotyczącej 9 umów zleceń i o dzieło:
a) w 3 przypadkach dokonano wypłaty wynagrodzenia z tytułu zawartych umów o dzieło 2 dni przed oceną formalno-rachunkową rachunków;
b) w 7 przypadkach ze względu na brak daty zatwierdzenia do wypłaty nie było możliwości sprawdzenia, czy wypłata wynagrodzenia dla zleceniobiorcy nastąpiła po zatwierdzeniu rachunków przez Dyrektora jednostki.
Obowiązująca w Muzeum „Instrukcja obiegu i kontroli dokumentów księgowych” nie zawierała zapisu o konieczności umieszczania daty przy podpisie zatwierdzającym dowód księgowy do wypłaty. Biorąc powyższe pod uwagę stwierdzono, że zalecenie pokontrolne nr 5
Ustalenia wykonania zalecenia nr 19, w zakresie polityki bezpieczeństwa informacji w odniesieniu do systemu informatycznego i informacji w nim zawartych wskazują, że na 10 podpunktów tego zalecenia – wykonano 3 podpunkty (nr 3, 6 i 9), nie wykonano 3 podpunktów (nr 1, 2 i 8), 2 podpunkty wykonano częściowo (nr 4 i 7), a wobec 2 podpunktów ustalenia uniemożliwiają weryfikację wykonania zaleceń (nr 5 i 10).
1) Konta użytkowników na komputerach nadal posiadają uprawnienia administratora. Nie wydzielono również konta administratora lokalnego.
2) Na żadnym z komputerów nie stwierdzono obecności konfiguracji wymuszającej zmianę hasła na użytkowniku co 30 dni.
3) Wszystkie komputery poddane kontroli miały włączony wygaszacz ekranu z opcją zabezpieczenia ekranu hasłem po upływie określonego czasu.
4) Na 17 komputerów poddanych kontroli 2 komputery nie miały zabezpieczonego hasłem dostępu do BIOS.
5) Muzeum nie sporządziło dokumentu potwierdzającego przeprowadzenie rozmowy z pracownikami nt. zakazu udostępniania poświadczeń do kont i systemów teleinformatycznych.
6) W Muzeum wprowadzono segmentację sieci (vlany). Przy tworzeniu podsieci przyjęto podział logicznie przyporządkowany do lokalizacji, w których pracują urządzenia podłączone do sieci.
7) Dla systemu monitoringu nie udowodniono stanu blokady dostępu aktywnego konta domyślnego producenta.
8) Nie podjęto aktualizacji oprogramowania systemowego na urządzeniach sieciowych.
9) System operacyjny Windows Vista został wycofany z komputerów Muzeum.
10) Nie udokumentowano wykonania przeglądu komputerów pracowników pod kątem ich wydajności.
W związku z powyższym przekazuje się następujące zalecenia:
1. Powtórnie zaleca się zobligować firmę świadczącą usługi ochrony do formalnego przekazywania kopii dokumentacji z przebiegu ochrony obiektów muzealnych (np. w formie aneksu do umowy).
2. Wypłaty wynagrodzenia z tytułu zawartych umów cywilno-prawnych dokonywać po dokonaniu oceny formalno-rachunkowej dowodu księgowego oraz zatwierdzeniu do wypłaty.
3. Ustalić zasady kontroli dowodów księgowych w sposób umożliwiający sprawdzenie prawidłowości wypłaty wynagrodzenia z tytułu zawartych umów cywilno-prawnych.
4. Należy bezwzględnie odebrać uprawnienia administratora lokalnego użytkownikom.
Proponuje się stworzyć odrębne konta administratora lokalnego na komputerach użytkowników i posługiwać się funkcją „Uruchom jako…” w celu wykonywania czynności administracyjnych na stacjach roboczych.
5. Celem okresowego wymuszenia zmiany haseł użytkowników należy wprowadzić zalecane ustawienia w Zasadach zabezpieczeń lokalnych na stacjach roboczych z systemem MS Windows 7/10 w wersji Pro. W innych wersjach systemu MS Windows (MS Windows Home), można do tego celu użyć odpowiednich poleceń systemowych z konsoli wiersza poleceń CMD.
6. Należy niezwłocznie zabezpieczyć hasłem dostęp do BIOS-u w komputerach które nie posiadają tego zabezpieczenia.
7. Należy ponownie przeprowadzić szkolenie pod kątem zakazu udostępniania poświadczeń do kont i systemów teleinformatycznych oraz sporządzić odpowiedni dokument stwierdzający odbycie takiego szkolenia przez wszystkich pracowników Skansenu, poparty ich podpisami.
8. Zweryfikować czy hasła w systemie monitoringu zostały zmienione na indywidualne. Jeśli system nie oferuje takiej możliwości, należy - w obecności osoby upoważnionej do weryfikacji – ponownie przeprowadzić procedurę zmiany haseł z domyślnych na indywidualne oraz udokumentować ten proces zrzutami ekranu, anonimizując poświadczenia logowania.
9. Wykonać aktualizację oprogramowania do najnowszej wersji, zalecanej przez producenta. Jeśli przedmiotowe urządzenia sieciowe nie są już wspierane przez producenta (są End of Life), w celu zachowania ciągłości działania sieci teleinformatycznej, zaleca się wymianę urządzeń na nowe.
10. Dokonać ponownego przeglądu komputerów pracowników pod kątem niskiej wydajności, wynikającej z niewystarczającej ilości pamięci RAM i/lub wolnych dysków talerzowych HDD. Przebieg przeglądu udokumentować.
11. W ramach kontroli zarządczej wpisać ujawnione nieprawidłowości w rejestr ryzyk.
Zarząd Województwa oczekuje od Pani Dyrektor, w terminie miesięcznym od dnia otrzymania niniejszego wystąpienia, informacji o podjętych działaniach na rzecz realizacji zaleceń ujętych w niniejszym wystąpieniu lub przyczynach niepodjęcia takich działań.
z up. ZARZĄDU WOJEWÓDZTWA Wicemarszałek
Zbigniew Wojciechowski
