FS Expertna Sprava

Obsah
............4 1 Sthrn .............5 2 Uvod .............6 3 ZloZenie expertnej skupiny........ .......................7 4 Ciele auditu lS FS............. ............................7 5 Rozsah a hibka auditu .,.......7 6 Met6dy prdce.......,... .............7 7 lnformadn6 zdroje .........8 8 Vfstupy 9 Sidasn'i stav a vrivoj (Dafiov6ho) informain6ho syst6mu Finaninej sprdvy SR ....................... 8 ........,.. 10 10 Poiiadavky na Daiovri informatnti syst6m FS SR............ ................11 10.1 Legislativne poZiadavky na D1S....,..,.. .....................11 10.1.1 Daiovd ziikony
70.!.2
10.1.3 10.1.4 10.1.5
Z6kon o
1SVS............. infraitruktdre......,............ ddajov..........
............ 12
Zdkon o kritickej
.,....,.........,.. 13 .......................13 ...,......14
Ziikon o ochrane osobnfch lnd relevantn6
z6kony
.,................... 14 L0.2 Funkdnd poiiadavky na D1S..,....... .'........'.'...'.." 15 10.3 Bezpednostnd poiiadavky na DIS a jeho okolie 10.4 ln6 poiiadavky na D15...... '............ 15 11 Posudzovan6 informadn6 syst6my a ich struin6 charakteristika...............'................'....'." 17 ..'...'.....'.......... 17 11.1 lnformadnri syst6m RDS.............. ...'.'........'.'.....' 18 7t.2 lnformainri syst6m KONS........... .'...'...' 19 11.3 Standardnri dafiovli syst6m ..."."..........'....' 22 12 Zistenia ......22 12.t Aktuiilny stav posudzovanrich syst6mov.....
tz.r.t
ls
RDs..........,
..................'..'."22
L@fitijdffigslu:;::r
---
Srihrn
janu5ri 2012 vznikla Finan6nS sprdva SR, do5lo kvyznamnym zmenSm v organizainej Struktrire dafiovrich orgdnov a starli dafiovri informadnri syst6m APV DIS bol nahradeny novrim informadnym syst6mom lS KONS, vyvijanfm od aprila roku 2011 spolodnost'ou Bank Pro Soft. lS KONS viak nebol dokonieny, vykazoval znadnf chybovost' a bola ohrozen6 tinnost FS SR. Situ5ciu vo FS SR skilmalo viacero kontrolnych skupin a premidrka SR po dohode s prezidentom SR vymenovala nez6V
vish,l
odborn[ skupinu, ktorej rilohou bolo posridit' syst6my, ktor6 mohli plni{ rilohu dafiov6ho informadn6ho syst6mu a navrhntit' rieienie. Expertn6 skupina posudzovala tri syst6my: lS RDS od firmy Novitech Tax (upravend verzia historick6ho syst6mu APV DIS), syst6m lS KONS vytvdrany v 16mci projektu UNITAS firmou Bank Pro Soft a Standardnli daiovri syst6m (5OS) tirmy IBM Slovensko z hl'adiska funkinosti, sriladu s legislativou, bezpeinosti a intich poiiadaviek,
Najmenej dostupnlich informdciibolo osyst6me 5OS, ktorl m6 byt'vo FS SR nasadenri 1,1.2013. je syst6m postavenri na Standardnom produkte SAP TRM (SAP Treasury and Risk Management) spolodnosti SAP. Neoficidlne informScie o jeho testovani potvrdzuju, ie md potrebnf funktnost. Probl6mom tohto rieienia je rigidnost' SAP, nesJlad s terminol6giou daiovtich zdkonov, zloiitost' pouiivatelskdho rozhrania, mal6 moinosti prisp6sobenia SAP-u pouiivatelbm, vysok6 podty licencii, cenV za licencie a udriiavanie syst6mu a vysok6 ceny za prfpadn6 ripravy SAP. Probl6mom je aj pouiitii zmluvnd forma (Poskytovanie technickej asistencie namiesto zmluvy o dielo),
5OS
ktord prenii5a zodpovednost'za kvalitu syst6mu na

uveden6 rizikd nasadenia 5OS.
FS SR. Expertnd skupina odporrida posrjdit'
2 kzdkladnej zmluve s lBM. Jeho flohou bola konsoliddcia preklenrif obdobie jedn6ho roka, kedy uZ z legislativnych a organizainrich d6vodov ridajov a mal nemohol fungovat povodnri systdm APV DIS a e5te nebol hotovri 5OS. Expertn;i skupina nemala k dispoziciizdkladn6 dokumenty oficidlne definujfce postavenie KONS a taktiei chVbalo mnoZstvo technicklTch dokumentov a dastiprojektovejdokument5cie. KONS bolpostaveny na progresivnych technol6giilch, jeho koncepcia bola zaujimavS, v pripade rlspe5n6ho dokondenia by poskytoval pouZivatelbm viitsiu podporu a komfort ako predchddzajrici syst6m APV DlS. Syst6m KONS viak bol vyvijanri len 7 mesiacov,6o je velmi krStka doba na syst6m tak6ho rozsahu a funkcionality. Pri
lS KONS vznikol na zdklade Dodatku
vrivojisystdmu nebolidodrZan6 principy riadenia softv6rovlich projektov a eite nedokonieny syst6m bol nasadenri zadiatkom roka do plnej prevddzky. ZSrovefi bol odstavenf APV DlS, takZe KONS boljedinVm syst6mom na sprdvu dani (neriitajilc podporn6 syst6my, s ktoqimiviak KONS nedokSzal korektne komunikovat'). V dase nasadenia poskytoval KONS len dast ziikladnej funkcionality a odovzdan6 moduly vykazovali dast6 a viiZne chyby. Pre syst6m KONS nebol spracovanri bezpednostnli pro.jekt, analyza rizik a navrhnut6 a implementovan6 bezpednostn6 opatrenia. Pri jeho vrivoji a nasadzovani bol poruSenli minimSlne zdkon o ISVS a Vyhliiika MF SR o itandardoch pre ISVS. KedTe tvorcom KONS sa nepodarilo do 2. aprila odstrdnit' uveden6 nedostatky, expertnd
ir:'i.r:rl:.ulliL6-d:i.!:,---.-.---.!----::i'1
. l'.lr l:-:-,
'i::
--*---Lr**--L---.--
'
skupina odporudila RV UNITAS odstavit' KONS a vrdtit sa k modifikovanej verzii p6vodndho syst6mu, k lS RDS a zvdZit', di pokradovaf vo vrivoji systdmu KONS.
tS RDS
je upravenou verziou p6vodn6ho systdmu
APV DlS, ktorii zohl'adfiuje legislativne zmeny
viak o syst6m postaveny na zastaraniich technol6giSch, s textovym pouZivatel'skym rozhranim, ktoni relativne spol'ahlivo poskytuje zdkonom stanoventl funkcionalitu. K lS RDS expertnd skupina nedostala iiadne podklady, ale zridastnila sa jeho testovania. Nemohla posidit' plnenie bezpednostnrich. legislativnych a inrich poZiadaviek na lS RDS, pretoie na to nedostala prisluin6 podklady. Ak by tak6to neexistovali (bezpednostny projekt, analliza rizik, n6vrh opatreni a i.), ani lS RDS by nesplfial poiiadavky zdkona o ISVS. Pri
a zmeny organizadnej Struktdry dafiovrich orgdnov. lde
porovnani nefunkdn6ho syst6mu KONS
fungujriceho, hoci zastarandho syst6mu lS RDS expertnd
skupina odporuiila RV UNITAS na ohraniten6 obdobie nasadi{ lS RDS.

Pri anahize uvedenrich troch syst6mov, prostredia v ktorom fungujti, fungovali, alebo budri fungovat', expertnd skupina narazila na rad probl6mov, kto16 by si vyiiadali podrobnejiie skdmanie, na
ktor6 nemala dost dasu. Tieto sri uveden6 v spr6ve.

Expertnil skupina sa tieZ zaoberala pridinami, kto16 viedli kvzniku kritickej situdcie vo
FS SR
a ked'-
ie viacerd
z nich majd vieobecnejSi charakter, navrhla niekol'ko opatreni, kto16 by pomohli zni2if
riziko podobn,ich probl6mov v Stdtnych inStitrici6ch v budrjcnosti.
Uvod
Reforma dafiovej a colnej sprSvy a zjednotenie vliberu dani, cla a poistnfch odvodov, ktorri vypra-
covaloMinisterstvofinanciivroku2O0Tl,bolaschv5lendvliidouSR T.miija2008.Ndslednevroku 2009 boli prijat6 novely daiovrich z6konov [3] a v roku 2010 bola podpisand Dohoda Medzi SR a spolo6nost'ou IBM Slovensko, ktorej cielbm bolo vytvorenie integrovan6ho syst6mu finandnej
spr6vy, (Podrobnosti sri v dasti 9, resp. v Sprdve NK0 t11l). V janudri 2012 vznikla Finantnii sprdva
doilo kvyznamnlim zmendm v organizadnej 5truktilre dafiov'ich o196nov a starri daiovf informadnlT syst6m APV Dlsz bol nahradenri novrim informadnrim syst6mom lS KONS. Prechod na
SR,
novri informadnri systdm priniesol rad probl6mov a vznikli pochybnosti, di lS KONS vstave, v akom
bol nasadenli, bude schopnli zabezpedi{ dostatoEnf podporu pri sprdve dani (najmd dasovo ohraniiend spracovanie DPH a dafiovlich priznani) a di md vliznam pokradovat v jeho d'aliom v,ivoji. Naviacsa pri kontrole NKU uk6zalo, ie pri zavAdzani lS KONS do5lo k poruieniu z6kona o ISVS [1], do otvorilo aj otiizku bezpednosti a spol'ahlivosti lS KONS. Nedostatky lS KONS sp6sobovali probl6my v cinnosti Finandnej sprdvy, kto16 boli znaEne medializovane. Cez daiovyi system prechddza vy3e 50% prijmov Stiltneho rozpodtu a preto patri k najd6leiitejiim prvkom kritickej infraitruktriry
5t;itu. Vzhl'adom na jeho zloZitost', nedostatodnrj funkdnosf a spol'ahlivost', krdtkos{ dasu (parlamentn6 vol'by a termin odovzdania dafiovrich priznani fyzickfch a pralvnickfch os6b), potrebu kvalifikovane rozhodnrit' o aktudlnom a perspektivnom rieSeni a nedostatok pouZitel'nfch objektivnych podkladov pre
toto rozhodnutie, sa predsednidka vl6dy
SR rozhodla vymenovat' nezdvislti
expertnI skupinu pre vykonanie auditu dafiovrich informatnrich syst6mov. Tento dokument popisuje stav skrimanrich informadnych syst6mov, sp6sob, akrim skupina pracovala a zdvery, ku ktorfm
dospela.
Zloienie expertnei skupiny

Expertnri skupinu vymenovala so s[hlasorn prezidenta SR predsednidka vl5dy SR. Expertn6 skupi-
na pracovala
tomto zloieni:
UK
r .
Doc. RNDr. Daniel OlejiSr, PhD., mim. prof., ved0ci Katedry informatiky FMFI
v Bratislave, koordindtor expertnej skupiny, Prof. lng. Pavol Horv6th, PhD., riaditel'Centra vripodtovej techniky STU v Bratislave,
Riadenie reformy daiovej a colnej sprdvy a zjednotenia vriberu dani, cla a poistnlich odvodov vykonSval podl'a interndho riadiaceho aktu MF SR E.3/2007 Riadiaci rnibor pre koordindciu reformy dafiovej a colnej sprdvy s vri hl'adom zjednotenia vri beru dani, cla a poistnrich odvodov (d'alej len ,,RV UNITAS"). [11]
2
pre lepSiu orientdciu iitatel'a sri pouzitd skratky uveden6 a vysvetlen6 v prilohe 16.2
Doc. lng. Ladislav Hudec, PhD., riaditel'Ustavu aplikovanej informatiky FIITSTU
v B ratislave.
Expertnd skupina zadala svoju prdcu 15.3.201"2.
Ciele auditu IS
FS
Boli formulovand v zmluve medzi FS SR a dlenmi expertnej skupiny nasledovne:
Posidit siiasny stov pripravenosti informainych systdmov Finoninej sprdvy SR o ich silad s prisluin,imi zdkonmi a internf mi prdvnymi aktmi.
Prvou rllohou expertnej skupiny bolo posridit (do 2. aprila 2012) ktoni zo syst6mov lS KONS a lS RDS je moZn6 nasadit'vo FS SR, Druhou rilohou bolo pos0denie, di syst6my lS KONS, lS RDS a SDS vyhovujti legislativnym poZiadavkdm a vnritornym predpisom FS SR.
Rozsah a hfbka auditu
Predmetom auditu boli systdmy lS RDS, lS KONS a 5OS. Tieto syst6my (podrobnosti srj uveden6
v d'alSich dastiach) tvoria jadro dafiov6ho informadndho syst6mu, podporujrice sprdvu dani, Dafiov1i
informainri syst6m je vel'mi rozsiahly a pomerne zlo2itV. Vzhl'adom na obmedzeny ias trvania auditu sa preto expertnd skupina sristredila na kl'ridov6 probl6my a nezaoberala sa podrobnostami.
Met6dy pr6ce
Pre posidenie s0dasndho stavu v zmysle cielbv auditu sa expertnd skupina zridastnila troch rokovani RV UNITAS, pracovnrich stretnuti so zdstupcami FS SR, s doddvatel'mi lS KONS,5OS tS ROS, zildastnila sa testovania lS RDS a lS KONS, komunikovala s odbornikmi z FS SR a analyzovala inform6cie z poskytnutrich materidlov a inrich informaEnych zdrojov.
Intbrmatn6 zdroje
Expertn6 skupina vychddzala z nasledujrlcich informdcii
. . . .
zii ko
nov
SR
koncepdnrich matJrislov MF zmldv

sPr6vy NKU
nw$lWrtff*iwffi;Kis3ilJ3:J:-i-.: r,'
:-'
r r e . . . r
informdciiz rokovani RV UNITAS projektovej dokumentdcie k jednotlivti m syst6mom prezent5cii jednotlivtich syst6mov dod6vatel'mi
monitorovacich sprdv o prevddzke syst6mu KONS vysledkov testovania syst6mov KONS a
RDS
FS SR
informdciiz rokovanis predstavitel'mi a pracovnikmi medi6lnychinformdci[,
Najd6leZitejSie3 pouZit6 informadnd zdroje sd uveden6 v dasti 15.
Vlfstupy
Expertn6 skupina prezentovala diastkov6 zistenia na pracovnrfch stretnutiach s prezidentkou FSSR

a zasadnutiach RV UNITAS. Vypracovala predbeZnil sprdvu o vfsledkoch auditu [28], ktorrl odovzdala predsednidke vl6dy SR, prezidentovi SR a prezidentke FS SR. Vtisledky predbeZnej sprdvy predniesla na stretnuti s predsednidkou vl6dy SR a na zasadnuti RV UNITAS.
9 Sfiasnf stav a vyvoi (Dafiov6ho)

nei spr6vy SR
infbrmain6ho syst6mu Finanf-
S0dasnri stav Dafiov6ho lS Finandnej sprdvy SR je vrisledkom skoro 20

a
roin6ho historick6ho vtivoja
je vyrazne ovplyvneny prebiehajf cimi koncepdnrimi a organizadnymi zmenami Finandnej spr6vy SR. Eite v neddvnej minulosti (do janu5ra 2012) bol syst6m vliberu dani, ciel a odvodov postaveny na Styroch nezdvisllich zloikdch: Da6ovej spr6ve, Colnej sprdve, Socidlnej poist'ovni a zdravotnfch poistovniach. V ziiujme zefektivnenia vyberu dani, ciel a odvodov Ministerstvo financii SR vypracovalo n6vrh reformy odvodoveho syst6mu, ktorli VlSda 5R prijala v roku 2008. Realiziicia reformy v podobe programu UNITAS rdtala v prvej s organizadnrim zhjdenim Dafiovej sprdvy a Colnej sprdvy do Finaninej spriivy a vdruhej f5ze s presunom kompetencii za vriber odvodov pre Socidlnu
a zdravotn6 pois{ovne na Finandnr-i sprdvu SR4. Tieto zmenv boli resp. majrl byt' podporen6 zme-
nami legislativy, spojenim a zmenami organizadnej 5truktdry b'ivalej Colnej a Dafiovej spr6vy a vytvorenim informatn6ho systdmu, schopn6ho podporovat' 6innost' Finandnej sprdvy SR. KI.L.2012 dollo kzlr.ldeniu Dafiovej a Colnej sprdvy do Finandnej sprSvy a reorganiz5cii Dafiovej zloZky Finandnej sprdvy (vytvoreniu 8 rizemnlich a 2 ipecidlnych (tvarov FS SR namiesto p6vod-
komptetnli'zoznam informadnrich zdrojov, najmd projektovej dokumentdcie, obsahuje rddovo niekol'ko sto
poloZiek o podl'a
[8] FinandnS sprdva,,bude ndsledne distribuova{vybrand prijmy do itdtneho rozpodtu, do rozpodtu obci, VUC, do Eu16pskej rinie (d'alej len ,,EU"), SP, d6chodkovrim sprdvcovskri m spolodnostiam (d'alej len
,,DSS") a ZP."
rxffi@@{Si&frgi*$jffi-r*"ttnr
;iil::,
---:l-
--.,-
nlich 102 rizemnfch titvarov.) V sfdasnej dobe sa legislativne ripravy a organizadn6 zmeny vo FS dotkli daiov6ho informadn6ho systdmu Finaninej sprdvy SR, ale lS colnej zloiky finandnej sprdvy,
ani
15
SP, resp, zdravotnrich poist'ovninie srl trimito zmenami zatial'priamo ovplyvnen6.
Daiov,i informadnf syst6m FS SR v sddasnosti vychddza z historickdho informadn6ho syst6mu APV DIS (podrobnejiia charakteristika je uvedenS niZSie), jeho modifikovanej verzie lS RDS, kriitkodobo (od zaiiatku roka 2012 do polovice aprila 2012) bol nasaden! novovytvorenri ale nedokondenf informatnri systdm KONS a perspektivne by mal byt postavenli na Standardnom dafiovom syst6me,SDS. Ked?e dinnost'Finandnej spr6vy je spojen6 s pouiivanrim informainym syst6mom a historickV APV lS obsahuje [daje, ktord budd pre sprdvu danipotrebn6 ajv budricnosti (najme prikontroldch daiovrich subjektov); a ked7e oba vyvijan6 syst6my (KONS a 5OS1 a existujrici lS RDS srj schopn6 poskytova{ poZadovan6 sluZby pri spr6ve dani, v spr6ve auditu budeme struine analyzo-
vat'vSetky
tri
lS.
V obdobi 1993-2012 bola sprdva dani DS SR podporovand prostrednictvom Dafiov6ho informad-
n6ho syst6mu, ktor6ho z5klad tvoril APV DIS (Aplikain6 programov6 vybavenie Daiov6ho informadn6ho syst6mu). APV DIS vytvdrala, rozvijala a podporu pri jeho prevddzke Dariovej sprSve poskytovala spolodnost Novitech Tax, s.r.o., dc6rska firma spolodnosti Novitech a.s. Dariove riadi-
telstvo podpisalo v decembri 2011 dodatok d. 205 k z6kladnej zmluve so spolodnostou Novitech Tax, s.r.o., na z5klade kto16ho (a nasledujricich dodatkov) Novitech Tax zapracovala do lS Daiovej spr5vy legislativu platnf od roku 2012 pre oblast danl a poplatkov [11]. Upravenri systdm APV DIS
sa nazyva lnformacnf syst6m reformy
daiovej sprdvy, lS RDS.
Pre realizdciu programu UNITAS uzavrelo 18.02.2010 Ministerstvo financii SR Zmluvu o poskyto-
vani sluZieb d,4600000697 medzi objedndvatelbm Slovenskou republikou v zastrjpeni MF SR a poskytovatelbm spolodnost'ou IBM Slovensko, spol. s r. o., ktord nadobudla riiinnost' 15.03.2010. Bola uzavretd na dobu 36 mesiacov odo dfra ri6innosti alebo po dobu potrebnf pre poskytovanie sluiieb. Zdkladnrim ridelom zmluvy s IBM bolo poskytnutie technickej asistencie, konzult6cii a sriiinnosti (d'alej len,,TA") pri vytvoreni integrovan6ho syst6mu finandnej spr5vy vrdtane zdroja diverzifikovanej informadnej blzy s cielbm vytvori{ podmienky pre poskytovanie elektronicklich
sluZieb v oblasti finandnej spr6vy. Predmetom zmluvy s IBM boli 4 aktivity, z ktonich je pre potreby tohto auditu relevantnd prvd:
Aktivita 1-TA s vytvorenim integrovan6ho prostredia v oblasti Dafiovej sprdvy SR, t. j.,,Standardn6ho daiov6ho syst6mu" (d'alej,,sDS") a podmienok pre poskytovanie elektronickrich sluZieb v tejto oblasti. Podl'a zmluvy s IBM bol zaEiatok projektu stanovenli na 01.01.2010, ukondenie
a implementdcia SDS by
malibyt uzavret6
k 31.12.2012. [1]-l
K
V rdmci programu UNITAS I bolo rozpracovanrich niekol'ko projektov.
jednrim z kl'diovtich patril projekt KONS lS, ktorf rie5il nastavenie dafiovdho informadndho systdmu pre rok 2012 tak, aby v plnom rozsahu reflektoval poiiadavky zdkona o orgdnoch Stiitnej sprdvy v oblasti dani, poplatkov
a colnictva, z6kona o dafiovfch orgdnoch a dafiov6ho poriadku. KONS lS vyvijala na z6klade zmluvy so spolodnost'ou
IBM spoloinost Bank Pro Soft spolu
s niektorlimi d'alSimi paftnermi.s

FS SR
V d'al5ej Easti opiSeme z6kladn6 poZiadavky na
daiovri informadnli syst6m ako ich jednotliv6 systdmy (lS RDS, lS KONS a 5OSlspifalri. analyzovat',
a potom budeme
10 PoZiadavky na Dailovy informatnlf syst6m
FS SR
Sddasnri Dafiovli informadny syst6m (DlS) FS SR6 sa skladd z niekol'krich na sebe nezdvislrich syst6mov a subsyst6mov prepojentich pomocou rozhrani medzi sebou a na extern6 systdmy a priere-
zovfch lT sluiieb zaistujricich chod a ddribu DlS. T6to ziikladnii architektrira DIS zodpoved;i ilohiim, kto16 m5 DIS pri sprdve dani plnit'a je do znadnej miery nezdvisld od toho ako budri realizovan6 jeho jednotliv6 iasti. Ziikladnii sch6ma DIS je zndzornend na obr, 1., prebratom z dokumentu [12]; ako jadro DIS v nej vystupuje historickf APV DlS.
26kladnlimi dastami Dafiov6ho informadn6ho syst6mu sd:
. . o
ziikladnV syst6m (iadro) Dahovdho informaEn6ho syst6mu (v minulosti APV DIS)
Nadstavbovti syst6my
Extern6 syst6my
nadstavbovd
a dopliujfce syst6my v rdmci

FS,
Dafiov6ho in-
formadn6ho syst6mu shiiiace k zvriSeniu efektivity prdce a rozhodovania.
systdmy, kto16 nepatria
ale komunikujri s DIS
lS KONS aj pripravovan'i 5OS by mali nahradit' jadro DlS, APV D|ST a zrejme ovplyvnia aj zvyiok
systdmu (rozhrania a prierezov6 sluiby, moZno aj nadstavbovd sluZby).

PoZiadavky, ktord daiovri informainli syst6m FS musi spffiat', moino rozdelit do Styroch hlavnfch
s
ku
pin:
1) 2) 3) 4)
legislativnepoZiadavky funkdn6 poZiadavky bezpednostndpoZiadavky in6 poZiadavky
V dldnku 4 V5eobecnlich podmienok zmluvy s lBM, kto16 tvoria neoddelitelhd srjiast zmluvy, je uveden6 zodpovednost' poskytovatel'a za plnenie zmluvy o subdoddvke, zodpovednost za odbornri starostlivost' pri vfbere subdoddvatel'a ako aj za vfsledok dinnosti vykonanej na zdklade zmluvy o subdodiivke [11]. 6 popis dafioveho informadndho systdmu vychddza z dokumentov IBM [12], t131. t APV DIS by vSak mal nad'alej slriiif ako zdroj historickrich ridajov
l_0
Organiza6ne jednotky, Dafi ov6 subjekty, Verejnost
Nadstavbove syst6my
Obr. 1. Schdmo dartoveho informoindho systdmu [12]
1t).1. Legis^latirrne
poiiadavky n;l
DIS
Na DIS FS SR sa vztahuje niekol'ko dafiovrich zdkonov, zdkon o ISVS, zdkon o ochrane osobnych ddajov, zdkon o elektronickom podpise a zrejme aj niekto16 d'a15ie. Tieto ziikony definujd na FS SR
jej DIS poiiadavky nerovnakej rjrovne podrobnosti. Napriklad Zdkon o ISVS povinnej osobe (FR 5R) ukladii povinnost' 5 3., ods. (4), pism. bl zabezpeiovat plynult, bezpeini a spofahlivi
a
prevddzku inJormainych systdmovverejnej sprdvy, zatial'do zdkon o ochrane osobnlich ddajov ide
do podrobnosti a Specifikuje detailne do md obsahovat' bezpednostn,i projekt syst6mu. Ked?e detailnii analliza legislativy a najmd overenie, di sd naplnen6 jej poiiadavky v konkr6tnych pripadoch, znadne presahuje moZnosti tohto auditu, expertn6 skupina abstrahovala (tam, kde sa to
dalo) od priliSnrich podrobnosti a legislativne poZiadavky sformovala vieobecnejiie.
1t].
1.1 Dariov6 z;ikony
Dafiov6 ziikony definujrl po)iadavky relevantn6 pre DIS dvojak6ho druhu:Specifickd a vieobecn6. Na tomto mieste sa budeme zaoberat'vSeobecnrimi poiiadavkami, postup pri identifikdcii a rieSeni Specifick'ich poiiadaviek je uvedenf v dasti 12.2.2. Z dafiovrich zdkonov vyplrivajd tieto vieobecn6
poiiadavky na
DIS
Daiovf poriadok poiaduje pouZ[vanie Stdtneho jazyka:
. 55,ods.(1)
Pri sprdvedani
sopouiivaitdtnyjazykapisomnosti sprdvcudanesa
vyhotovuji o podonia dafiovdho subiektu musia bytv itdtnom iazyku.

Predpokladii komunik6ciu dafiovdho subjektu a dafiov6ho dradu v elektronickej forme,
g 13, ods. (5) Podanie urobend elektronickymi prostriedkami so poddva prostrednictvom elektronickej podatel'ne podl'o 5 33 ods. 2 alebo prostrednictvom elektronickei podotel'ne
11
rrlrrrfaj:t
-: r:i -t
:jlj,
',-_-
lstredndho portdlu verejnej sprdvy a musi byt podpisond zoruienym elektronickym podpisom osoby, ktord ho poddva.
V pripade DPH je elektronickd forma podania povinnd
Povinnosf doruiovot podanio elektronickymi prostriedkomi dofiovimu orgd-nu, colndmu orgdnu o ministerstvu md a) dofiovy subjekt, ktory je plotitel'om done z pridonei hodnoty, b) dortovy poradco za dartovy subjekt, ktoreho zastupuie pri sprdve dani, c) advokdt zo dartovy subjekt, ktordho zastupuie pri sprdve doni.
S 14
(ll
Danovri poriadok predpokladd poskytovanie informdciidafiov6mu subjektu prostrednictvom lnternetu a pouiivanie zaruden6ho elektronick6ho podpisu.
rcJ.z Ziikon o ISVS

DtS FS SR
je podl'a $ 2 pism. b) zdkona 275/2006 [1] informadnfm syst6mom verejnej sprdvy.
Podl'a 5 3 ods. 1)
tohto zdkona je povinnou osobou pre Dafiovy informadnli syst6m
FR SR. Zd-
kon 275/2006 ustanovuje povinnej osobe vo vz{ahu k informadn6mu syst6mu nasledujrice povinnosti
1)
$ 3 ods. (ll Zo vytvdronie, sprdvu o rozvoi informaindho systdmu vereinei sprdvy zodpovedd povinnd osobo, ktord je sprdvcom, zabezpeiujico vykon verejnej sprdvy no urienom dseku verejnej sprovy podl'a osobitndho predpisu.
je zodpovedn;i za DIS podas ce16ho jeho iivotn6ho cyklu, vrdtane etapy vfvoja. bal6ie ustanovenia Ziikona stanovuj( poiiadavky na povinnri osobu konkrdtnejiie
lde o stanovuje vieobecnd ustanovenie, ktord znamend,
ie
FR SR
2)
g 3., ods. (4), pism. bl zabezpeiovat plynuli, bezpeini o spol'ahliv(t prevddzku informai-nych systdmov verejnej sprdvy, ktord sd v ich sprdve, vrdtane orgonizaindho, odborndho a technickeho zabezpeienia,
kde poiiadavky vyjadrujri nasledovn6:
plynulos{ = zaistenie dostupnosti sluiieb, ktord syst6m poskytuje, bezpednost = zaistenie d6vernosti, integrity, autentickosti tldajov, presadzovanie zodpovednosti za dinnost' v syst6me, vrdtane srjladu systdmu s legislativou a normami spolahlivost = garancia sprdvnosti a dostupnosti ridajov spracovdvanfch v ISVS
Povinn5 osoba tieZ musi
3)
g 3., ods. (4), pism. c) zabezpeiovot informaini systdm vereinei sprdvy proti zneuZitiu,
a
to minimdlne znamend zaistenie d6vernosti a dostupnosti ridajov, integrity systdmu, idajov jeho programovdho vybavenia. Napokon, posledn;i povinnosf povinnej osoby odkazuje na
podrobnejiie itandardy
L2
4)
3., ods. (4), pism. il zabezpetova{, oby bol informain'i systdm vereinei sprdvy v silade so
itandordmi informainych systdmov vereinei sprdvy

Standardy spominan6 v 5 3., ods. (4), pism. i) si uvedend vo V11'nose MF SR [2] a definujri podrobn6 poZadavky zaistenie interoperability a primeranej drovne informadnej bezpeinosti |SVS.8
10.1.3 Ziikotr o kriticltei infraltl'rtktitre Zdkon d. 45l20t]- z.z. o kritickej infraStruktire, [5] definuje v 5 2, ods. (1) prvkom kritickej infroitruktiry (d'olej Ien ,,prvok") najmo iniinierska stavba,9 sluiba vo verejnom zdujme o informainy systdm v sektore kritickej infraitrukt(try, ktorych noruienie olebo zniienie by malo podl'o sektorovych kritdrii a prierezov'ich kritdrii zdvaind nepriaznivd d6sledky na uskutoifiovanie hospoddrskej a socidlnei funkcie
itdtu,
lnformadn6 a komunikadn6 techno16gie sri podl'a toho zSkona sektorom kritickej infraitruktriry v p6sobnosti MF SR. Hoci zoznam prvkov kritickej infraitruktriry nie je verejne pristupnli, DIS spifia vSetky krit6rid na zaradenie medziprvky kritickejinfraitrukttiry a moino ajeur6pskej kritickej infraitruktriry. Zdkon o kritickej infraitruktrire stanovuje v5eobecn6 poiiadavky na prevddzkovatel'a prvku kritickej infra5truktiry v 5 9
(1)
Prevddzkovatel' je povinny ochrofiovat prvok pred noruienim olebo zniienim. Na ten prevdd zkovate l' je povi n ny
iiel
o) uplotnit pri modernizdcii prvku technol1giu, ktord zobezpeiuje jeho ochronu, b) zaviesf bezpeinostny pldn po predchddzajicom vyjadreni prisluineho istredndho orgdnu ... c) prehodnocovot priebeine bezpeinostny pldn, a akje to potrebnd, zaviest po predchd' dzajlcom vyjodreni prisluindho istredndho orgdnu oktualizovony bezpeinostn,i pldn, d) obozndmit svojich zamestnqncov v nevyhnutnom rozsohu s bezpeinostnym pldnom, e) precviiit podl'a bezpeinostndho pldnu aspofi raz za tri roky modelovi situdciu hrozby naruienio alebo zniienio prvku, h) postupovot podlo bezpetnostndho pldnu v pripode hrozby naruienia alebo znitenia prvku.
Bezpednostny pldrn je podrobnejdie rozvedenri v 5 10 a v prilohe 2z6kona. V podstate ide o Standardnli bezpednostn,i projekt syst6mu, vrdtane havarijnfch p15nov a plSnov obnovy.
10.1..1
nr,ich
7,51<an
o ocht'ane osobnych riclajov
V DIS sa spracovdvajri osobn6 udaje, na kto16 sa vztahuje Ziikon d. 42812002 Z. z. o ochrane osob-
ridajov v zneni neskoriich predpisov [6]. V 5 2, ods. (1) pism.
e)
sri uveden6 vrinimky zo z5-
kona, ktor6 sa vz{ahujti aj na DIS:
Standardyvychddzajrj z medzindrodnrich noriem a id0 do takych podrobnosti, ie overenie ich dodriiavania by si vyZiadalo podstatne rozsiahlej5i audit DlS. Naviac, vdt5inou sa jednd o poiiadavky na existujrice syst6my, a teda by bolo moZnd posudzovat' di ich sp[ha lS RDS a prostredie FS SR, v ktorom lS RDR p6sobi, ' 5 43a ods. 3 zdkona a. 51/tg7 6 Zb. o Llze mnom pld novani a stavebnom poriadku (staveb nri zSkon) v znenf
neskoriich predpisov.
13
I 6 ods. 7 ai 4, 5 70 ods. 7, 2 a 8, I 20 ods. 7, 5 27 a I 32 sa nevno sprocivonie osobnych idajov nevyhnutnych na zabezpeienie verejndho zdztahuji ujmu, ok prevddzkovatel'plni povinnosti vyslovne ustanovend osobitnym zdkonom uriene na zoistenie e)vyznamndho ekonomickiho alebo finanindho zdujmu Slovenskej republiky alebo Eurdpskej rtnie, vrdtane menovych, rozpottovych o dafiovych zdleiitosti
IJstanovenia 5 5 ods. 4,
prevddzkovatelbm DIS je podl'a 5 4 ods. (2) ziikona FS SR. Prevddzkovatel' DIS podl'a zdkona zodpovedd za bezpednost osobnfch ddajov. Podrobnosti o povinnostiach prevddzkovatel'a stanovuje zdkon v 55 15-19. Podobne ako v pripade zdkona o kritickej infraitruktrire aj ziikon o ochrane osobnych 0dajov poZaduje vypracovanie Standardn6ho bezpetnostn6ho projektu, v rdmci kto16ho bude vypracovanf bezpednostnri z6mer, vykonan6 analliza rizik a prijat6 bezpednostn6 opatrenia, ktor6 budti formalizovand v podobe bezpednostnych smernic. Tieto
poZiadavky sri v srjlade s bezpefnostntimi Standardami zdkona o ISVS, resp. normami ISO/IEC radu 2700x a ISO/lEC 15408.
10.1.5 In6 relevantn6 zfkony

Pri elektronickej komunikiicii sa vo FS vyuZivajri elektronick6 podpisy a dasov6 peEiatky. V r5mci
projektu KONS bola navrhnutd intern5 PKI [20]. Ak by FSvytvorila vlastnd PKI a bola poskytovatelbm certifikainych sluZieb, bolo by potrebn6 preskrimad di sa na iu nevzt'ahuje zdkon o elektronickom podpise [7]. V kaZdom pripade viak syst6m musi byt' schopnli spracovSvaf elektronick6 podpisy, dasov6 peciatky a certifikiity verejnrich kl'ricov, kto16 vyhovujf norme X 509. V opadnom pripade nebude schopnri overovat' podania podpisan6 elektronickym podpisom zaslan6
zo zahranidia.
10.2 Ftrnl<in6 pciiadavky na I)lS

Vypl,ivajri
D15,
funkcii, kto16 md FS v oblastisprdvy dani plnit'. Nutnii m minimom je historick6ho APV pozostdv ajica z nasledujticich fu n kcii
z
1. 2. 3.
registe r
riftovnictvo
DPH
4. dai z prijmu fyzicktich os6b 5. 6. 7. 8. 9,

dafi z pr(jmu prdvnickrich osob dafi zo ziivislej iinnosti dah z motorovlich vozidiel pdrovanie
preplatky a nedoplatky
T4
10. sankcie
11. kontrolY
12. exekdcie 13. 5t6tnY dozor 14. pokuty a nedoPlatkY
1.0.3 llezpeinostn6 poZiaelavky rla DIS a ieho okolie
Explicitne vypl'ivaji zo zdkona o ISVS, zdkona o ochrane osobnrich fdajov, z5kona o kritickej infraStruktilre, ako aj z charakteru DIS a ddajov, ktor6 sa v fiom spracovdvajri. Pokrtvajd celli
Zivotnri cyklus DlS. Podl'a bezpednostnri ch Standardov [Z] (5 a1)je
potrebnd pred zavedenim novdho systdmu alebo jeho iosti stanovit bezpeinostne poiiadavky, ktord st nart Hadend o overit', ii ich novy systdm spifia.
Vo fdze n5vrhu a vyvoja syst6mu by bolo potrebn6 podrobnejSie analyzovaf bezpednostn6 poiiadavky na DlS, napr. vo forme bezpednostndho zdmeru podl'a normy ISO/IEC 15408. Zmyslom bezpednostn6ho zdmeru (nie je identickri s bezpednostnrim zdmerom podla zdkona 428 o ochrane osobnrich ridajov) je identifikova{ bezpednostn6 probl6my, ktor6 je potrebn6 rieSit' pomocou im-
plementovania bezpednostnrich funkcii v samotnom DIS a stanovenia predpokladov o sp6sobe

pouZivania DIS (bezpednostn6 poZiadavky na okolie DIS).
Druhd skupina bezpefnostnlich poiiadaviek relevantnfch pre fdzu ndvrhu a vrivoja DIS sa trika
sf
ladu vyvinut6ho systdmu so Specifik6ciou, kvality implementdcie, sily implementovanri ch
bezpednostnfch mechanizmov, dodriiavania zdsad sw. inZinierstva, drovne zdruk na syst6m (assuronce v zmysle ISO/lEC 15408), testovania syst6mu a zavddzania syst6mu do prevddzky.
Vaidiina bezpednostnrich poZiadaviek vyphivajdcich zo zdkonov existujiceho a nie vvviian6ho syst6mu. Pre taklito syst6m by
Finandnd sprdva mala
a itandardov sa vSak
trika
mat (a mii) vypracovanf bezpeinostnd politiku pre svoje

OtS.
in-
formadn6 syst6my, ktorej poZiadavky by mal spifiat' ai Pre ISVS tak6ho vyznamu akrim je
D15 je Standardom systematick6 rieienie informadnej bezpeinosti v podobe syst6mu riadenia informadnej bezpednosti.
Pre (hotovri) DIS by mal byt stanovenr/' bezpeinostnri zAmer, vypracovanri bezpednostnli projekt, vykonand anahiza rizik a navrhnut6 a zavedene bezpednostnd opatrenia, vr6tane bezpednostnrich smernic. Bezpeinostnd opatrenia by mali zahfhat aj havarijn6 pl5ny
plSny na zachovanie kontinuity tinnosti.
a
1_5
Fiiw@mw@r',iJusisjJ;J- ;.-,
10.4 In6 Po'iiaclavkY na tilS

Naplnenie poiiadaviek uvedenrichv predchddzajIcich Eastiach eite nezaruduje, ie DIS bude plni{ svoj iliel. prijmime predpoklad, ie Dafiovri informadny syst6m splia funk6n6, legislativne
a bezpednostn6 poZiadavky v plnom rozsahul0. Vrivoj KONS zd6raznil nevyhnutnos{ dodriiavat'
ziikladn6 z5sady vrivoja a nasadzovania novych informainfch syst6mov. Kl'tiEovoull podmienkou rispechu nov6ho DIS je
L.
Pri vrivoji a nasadzovani D15 musia byt'dodrian6 zdsady riadenia softv6rovlich projektov;
najmii zaistenie dostatodn6ho dasu na vrivoj syst6mu, oddelenie vyvojov6ho, testovacieho a prevSdzkov6ho prostredia, zohladnenie bezpednostnrich poiiadaviek od zadiatku vtivoja syst6mu, akceptadn6 testovanie, priprava pouZivatelbv, pilotnf projekt, vyhodnocovanie a zapracovdvanie pripomienok, pripraven6 rieienia pre pripad viiZnych nedostatkov nasadzovan6ho syst6mu a pod.
Daiovri informadnri syst6m musi komunikovat's viaceni mi externri mi informadnymi syst6mami Slovensku aj v E0. Aby tdto komunikdcia bola moind, musi byt zaistend interoperabilita medzi
komu nikujricimi syst6mami.
na
2.
DIS musi byf schopny spracovdvat' informdcie poskytovan6 externymi syst6mami a opad-
ne, musi byt schopny exportova{ Lidaje vo forme spracovatel'nej externymi informadnymi syst6mami.
Druhou vieobecnou poZiadavkou je dokdzatel'n6 rlroveti bezpednosti DlS. Ak mii DIS spolupraco-
vats externymi syst6mami, nesmie ohrozovat' bezpednos{trichto syst6mov, ale ani nesmie pripustit, aby bola jeho bezpeinos{ ohrozen5 kv6li nedostatodnej (rovni bezpednosti v niektorom z kooperujdcich syst6mov. Tdto poiiadavka je povinn6.
3.
DIS musi ma{ vypracovanri bezpeinostnd politiku (zaloien0 na bezpednostnom projekte) s explicitne definovanri mi bezpednostnri mi ciel'mi pre samotnri DIS a jeho bezpednostn6
okolie.
Vlddou schviilenri projekt UNITAS poiita s trim,
ie zavedenie nov6ho
DIS zv1i5i
efektivnostfinnosti
Finandnej spr6vy (zniienim ndkladov, zniZenim podtu pracovnikov, zvyienim vykonov a i.). O metodike odhadov prinosov a n5kladov moZno polemizovat', ale bez ohl'adu na to je tretou vleobec-
nou poZiadavkou na DIS efektivnost.
4.
Ndklady na obstaranie a prevddzku DIS by nemali byt'vyS5ie ako dspory12, ktor6 jeho zavedenie prinesie.
toje
z
to neredlny predpoklad, ale umoihuje ndm identifikovat' poiiadavky, ktor6 nespadaj0 do iiadnej predchddzajIcich kateg6ri i 11 nutnou ale nie postaiujricou 12 r6tame aj s moinos{ou, ie zavedenie nov6ho DIS neprinesie rispory, ale bude znamenat' stratu.
15
lij{f.ffi' I@--*
probldmy v Dafiovej/Finandnej sprdve sprevddzajdce zmenu informadn6ho syst6mu jasne dokladuji,2e bez dostatoEnej podpory pouiivatelbv nie je rispein6 nasadenie informadn6ho syst6mu
moZn6. Z toho vypllivajri nasledujrice poiiadavky na DlS.
5.
musi poskytova{ pouiivatelbm minimdlne rovnakd funkcionalitu ako predchddzajtici syst6m (ziikladn5 funkcionalita je dan6 z6konom, d'al5ie funkcie s[ urden6 na zjednoduSenie a sprehl'adnenie pr6ce pouZfvatel'a). PouZivatelsk6 rozhranie musi byt jasn6, prehl'adn6
DIS
a zrozumitel'n6. Komunik6cia pouiivatela s DIS musi byt'rielen6 jednoducho a efektivne.
PouZivatel'musiv kaidom ol<amihu vediet, do syst6m robi, ako dlho to asi bude trvaf sa od neho (pouZivatel'a) odakdva. Syst6m musi obsahova{ kontextov'i Help.
a do
6, 7.
Pouiivatelia musia byt'na zavedenie nov6ho syst6mu pripraveniv dostatodnom predstihu. K syst6mu musia existovat' pouiivatelsk6 prirudky a Helpdesk. Dodeivatel/tvorcasyst6mumusizabezpedit'dostatofnrltechnickripodporupri
zmendch syst6mu.
prevddzkea
Okrem pracovnikov Finandnej sprdvy budi so syst6mom pracovat'klienti (obdania). Aby DIS dokiizal poskytova{ poiadovan6 sluiby obdanom, musi(syst6m a/alebo pouiivatelsk6 rozhranie)
8. 9.
Mat dostatodnd kapacitu (komunikaini aj
vri
podtovi).
Rie5enia musia by{ (podl'a ziikona o ISVS) platformovo nez6visl6, a preto musia podporo-
va{ 16znorod6 platformy na strane pouiivatel'a. 10. poskytovat' pouZivatelskd rozhranie pre laick6ho pouilvatel'a (obdana) s potrebnou podporou (nSzornV Help),
11 Posudzovan6 informatn6 syst6my a ich struinf charakteristika

1-1.1
lnf'orrrratnf system
R.DS
lS RDS predstavuje upravend verziu p6vodn6ho informadndho systdmu APV DIS spolodnosti Novitech TAX, a.s. Tento systtim, pracujrici nad databdzovyim syst6mom INFORMIX, je technologicky prekonanri, pouiivatelskd rozhranie je textov6, archaick6. RDS funguje s klientom na pracovnej
stanici pouZivatel'a. Cehi syst6m RDS je pod licenciou dodiivatela, neumoZfiuje vykondvanie zmien tretimi osobami. Zamestnanci Dafiovej sprdvy predchiidzajricu verziu tohto syst6mu, APV DlS,
pouiivali dlh6 roky a sri nai zvyknuti.

Zdkladn6 prepojenia informadn6ho systdmu RDS na okolie bolo demonitrovand na prezentdcii spolodnosti Novitech Tax, s.r.o. dfia 15.3.2012 [11] a je na obr;izku 2. Subsystemy VIES a VREF zabezpedujil viizbu na syst6my Eur6pskej rjnie. lnternetov'i port6l eTax umoiiuje pod6vanie da-
iovrich dokumentov dafiov17m subjektom (eDane) a tieZ pripojenie Jednotnrich Kontaktnrich Miest
17
(JKM). Na informadnyi syst6m RDS srj pripojen6 5tandardn6 subsyst6my ako Stdtna pokladfia, Zivnostenskli register a vstup naskenovanych daiovri ch dokumentov (Skenovanie).
Sk*t'e*I",,*"+.
'r
ti
]t '
i)(,'(.l'
ii;;/l,sii
Statna pokladha
G'-=--=
\:--*/
??P.,'
r-*v
I=/ re\vEs
RDS
Prepojenia IS RDS na okolie
Skenovanie
V
'{0';
ezu
IS RDS
fiil$.
.IKM
*/
l*.
,"ffin**,
Obr. 2 : Zdkladnd prepojenie lS RDS no okolie
11.2 Infornratnf syst6m KONS

lS KONS, ktorri pripravila spolocnos{ Bank Pro Soft, a.s., prostrednictvom persondlneho lizingu cez
spolodnost IBM Slovensko, s.r.o. predstavuje koncepdne a fllozoficky modern6 rieienie, kto16 perspektivne moZe spfnat' podmienky projektu UNITAS. Rieienie je postaven6 v prostredi operacn6ho systemu AIX na novonavrhnutom programovom syst6me nad databSzovrim syst6mom ORACLE. lS KONS v pripade jeho nasadenia predpoklad6 vyuiitie samostatnri ch modulov ako napr.
e-Dane, EZU, AIS a i.
Rieienie lS KONS je technologicky na zadiatku iivotn6ho cyklu a je realizovan;i ako webovf front end s interaktlvnymifunkciami s vysokou mierou online prisposobenia, s vysokou mierou automatizdcie a pouiivatelskfm komfortom. Na personiilnych po6itadoch pouZivatelbv nie
i
je
potrebn6
nita lovat'
kl
ientov, staci ita nda
rd
nri internetovli pre
iada d.
18
V rdmci lS KONS bol vyvinutf novri modul EZU (Elektronick'i Zber Udajov) na elektronickil komunik6ciu dokumentov, s podpornri m modulom PKl, a modul AlS, ktorf poskytuje funkcionality admi-
nistrain6ho informadn6ho syst6mu a manaimentu dokumentov daiovej sprdvy. TaktieZ je realizovan6 prostrednictvom integradn6ho rozhrania prepojenie modulov SCAN-AIS, eTAX-A|S, EZUAI5, AIS-KONS, KONS-AIS, AIS-APV DIS. Zjednodu5enS sch6ma prepojenia EZU na d'al5ie moduly informain6ho syst6mu dafiovej spriivy je
na obrdzku
d,3 [19].
.::e t-I 3ra, L{
Prijat6 dokumenty
rro
formate
Prijat dokumenty
vo formate
Odosielane dokumerrty Prijate dokumenty, hist6ria Prijat6 dokunlenty
- Registre dafiorich subjektov - lnformaCn d6ta k danovym
formate Xl4L
subjekt om ( saldokonto)
Obr. 3 : lntegrdcia EZU so zokladnymi modulmi dafiovej sprdvy.
11.3 Stanclardni dafiovy syst6nr
Standardn,f dailov'i syst6m, 5OS pre
FS
vyvija spolodnost IBM Slovensko, s.r.o., na zdklade zmluvy
s MF SR. Systdmovou zilkladiou je operainyi systtim AIX a databiizovf syst6m ORACLE. 5OS je syst6m postavenri na Standardnom produkte SAP TRM (SAP Treasury and Risk Management) spoloinosti SAP. Na obr6zku ( zdroj - prezent6cia IBM [2a]) je zn6zornenii Struktdra Dafiov6ho infor-
maindho syst6mu (APV DIS) s jeho vdzbami na in6 informadn6 syst6my prepojen6 cez rozhranie.
Dod5vatel'vtomto pripade rovnako ako v pripade nasadenia lS KONS predpokladii vyuZitie samostatnrich externrich modulov ako napr. lSK1, lSK2, SVS,e-Dane, EZU, AIS a i. Na vrivoji a prev5dzke uvedenrich podsyst6mov sa podiel'ali a podiel'ajri viaceri dod6vatelia, napr. za lS pre kontrolu daiovrich subjektov lSKl a lSK2 zodpovedd spolodnos{ Beset, s.r.o., za SVS spoloinost Ditec, a.s., a
pod.
19
Standardn'i informainli syst6m 5OS ako stiast doddvky spolodnosti IBM Slovensko, s.r.o. pre Finandn6 spr6vu predpokladS teda len ndhradu casti sfdasnciho Dariov6ho informadneho syst6mu a to zdmenu APV DIS fpravou Standardn6ho produktu SAP TRM. Na obrdzku (zdroj - prezent6cia IBM t24l) tiito dast predstavuje len modro vyznaden6 dasti, vietky ostatn6 dasti vrdtane nov6ho elektronick6ho portalu EZU, ktor,i bol vyvinutf v rSmcl lS KONS a na diagrame nie je zn5zorneny
zostan0 nezmenen6.
APV DIS AS
Evidencla poSty SpisovS agenda
Nadstavbov6 syst6my
Viizby na okolie
-l
Skenovanre daiosich dokumeniov
ISKl
'dari.subjektov na ko Pl6novanle konfo Vyhodnotenie konfol
Archlv
lntrastat
DWH DS
Register daiovich subjektov
Udal6ti
Dai z pr'rjmov (Fo, Po, ZC) Dai z MV

DPH EMdoncia llatnlEh prijmov Predpisy a plalby Nedoplatky, preplatky
OSS Pron6zy Repoil n9 DataM n ng OLAP ana izy Syst6m analizy rizik
Ats
Anal!1icki
lnf
ormaani system
Enrnd vislupy
Oaiov6 xektcie oaiovA konkoly

StAtny dozor
.g
6 E N
0okumenty
Z6tavy
tr
T o -----+-+
I
tsKr----l
Podpda pre
oariover
JKM CEZIR
vikon rontiolv
ss
Spriw pou:lvalelov
sp.ava prlstupov
Sprava aisslnikov
r.--;;;---l l*rnr",i-ui*iponar
Stdtna pokladnica
Slovenskdr po3ta
DED
D8iabr.a
na
vimnu idajov
DaiovV subiekt Vdzby na .
syst6my EU
svs
F I - latovn AM AA -
iclvo rozpoitovnictoo majetok CO - konkolling MM - matedelov6 h6oodd6bo
D - od beratelskd zml uvy a
fakliry
AP
HR DO TM
autop.evAdzka peBonalist ka e mzdy
dochidzka
mealmont Dracovnkh ci6t
Obr.4. Stondardny danovy systdm
Pri celkovom pos[deni nasadenia 5OS je nutn6 konitatovat, )e, platforma SAP, na ktorej je tento syst6m postavenli neprispieva k zdkladnemu z5meru projektu UNITAS a to k zjednoteniu vriberu
dani, ciel a poistn6ho. P6vodn'i zSmer integr6cie resp. prepdjania l5 v oblastiach dani, ciel a poistn6ho, podl'a projektu UNITAS, predpoklad6, ie platforma SAP umoini prepdja{ aj in6 platformy v sridasnosti prevSdzkovanrich 15 postavenrich na inrich operadnrich a databdzovych syst6moch'
Z
informatick6ho hl'adiska sa pri integrdcii lS predpokladS, Ze jednotliv6 [daje budti uloZen6 a aktualizovan6 v databdzach len raz a to v tom lS, ktorri je pre tieto idaje prisluinV, napr. lD fyzic-
20
kyich os6b v databdze evidencie obyvatel'stva, spravovanej a aktualizovanej MV SR, identifikadnd
fdaje o dariovrich subjektoch v databdze lio, ktorri spravuje a aktualizuje 50 Sn a pod. a vietky ostatn6 l5 si aktualne (daje preberajrl ztrichto datab6z podl'a potreby. Preto je integrdcia
a prepojitel'nos{ platforiem jednotliv,ich lS pre splnenie ziikladn6ho z6meru nevyhnutnd.
Vtejto stlvislosti je potrebne zv6Zit vhodnosf pouiitia syst6mu SAP v tak zloZit,ich a dasto sa meniacich podmienkach ako je Finandn5 sprSva.Standardnri programovri balik SAP TRM je vel'mi m6lo flexibilnri, jeho dprava na podmienky v SR je mimoriadne taZk5, vyZadujdca velmi skusenrich programStorov a v niektorrich funkcionalitdch aj prakticky nemoZnd. KaZdd zmena aj nepatrnS bude vyiadovat znain6 finandn6 prostriedky. Nasadenie syst6mu predpokladii potrebu sk6r prisposobit doterajSie pracovn6 stereotypy na Finaninej spr6ve dan6mu syst6mu ako by sa systdm prisp6sobil poZiadavkiim pouZivatel'ov. Tiito skutoinost aj vzhl'adom na sddasnf stav poditadovfch zrudnosti zamestnancov FinanEnej spr5vy bude implikovat probl6my pri jeho nasadeni a vyZadovat' enormn6 niiroky na zaikolenie zamestnancov.
Eil''!i[rf
System context diagram
"3!gr .d3st' '| -@?
SVS lSK2 lSKl F
'
.6fi
DWH
,IW
SVS: system of internal administration

SAP ERP 5,0 FI,FM,A[,,l.HR,CO.MM.SD,..
lSKl:
ioformation system for Desktop syslem
td
auditor
lSK2: infomation system for td auditor Seleclion of tax subject for audit. From DWH DWH: data warehouse
vlEs: VAT lnfomation Exchange System
AIS:
administrative information syslem enterprise record managsment
(P
SCAN: paper document digitalizatjon system
CMS: @ntenl management system,

documenl management system eTax: internet pottal
I
ArchiveLink
Obr. 5. Okotie StandardnEho dofiovdho systdmu [24]
21.
LZ Zistenia
Vtejto iasti sri uvedend poznatky o aktudlnom stave systdmov
(lS RDS, KONS a SDS), ktord ex-
je vyhodnoten6, do akej miery pertnri tim ziskal. Najprv sd rozobrat6 jednotliv6 syst6my, potom pridiny existujriceho stavu DlS. plnia poZiadavky sformulovan6 v dasti 10 a napokon srl uveden6
12,1 Aktuiihry srav posudzovanych systdmov'

posudzovat' dva syst6my: lS V obdobi, v ktorom prebiehal audit (marec-apr(l 2012) bolo moin6
RDS a lS KONS.
V pripade Standardndho daf,ovdho systdmu bolo moind posudzovat'nanajvli! kon-
cepciu SDS, lebo 5oS je vo fdze vrivoja a okrem
. r
analytickVch materi5lov tlikajdcich sa procesov vo vtedajSej Dafiovej sprdvelt a historick6ho syst6mu APV DIS
a
prezentdcie SDS pre expertnY tim,
nemali dlenovia expertn6ho timu relevantn6 podkladyla pre jeho detailnejiie pos0denie.
tz.\.l Is RDS
Napriek Ziadosti adresovanej doddvatelbvi, spoloinosti Novitech Tax, s.r.o., expertnd skupina nedostala iiadnu funkEnrl, technickri ipecifikdciu, ani d6tovri model lS RDS a dodiivatel sa odvolal na dokumentdciu syst6mu APV DlS. Rieienia APV DIS maji vSak viacer6 nedostatky, ktor6 si vyZiadali prechod na inli syst6m (prehl'ad nedostatkov APV DIS je uvedenri v dokumente [25] a zrejme aj inrich dokumentoch), ale bez vy55ie uvedenej dokumentiicie lS RDS nedii sa posf dit', di
sa
nedostatky APV DIS preniesli aj do systdmu lS RDS'
Dia 15,3,2012 sa expertnd skupina zidastnila prezent6cie tohto syst6mu na FS SR [161. Expertn6 skupina sa tiei priamo zdEastnila procesu z6t'aiov6ho testovania tohto syst6mu na Dafiovom riaditelstve Bratislava dha 27,3.2Ot2, a mala moinost'hovorit s relevantnymi zamestnancami Du Bratislava, ktori sa vyjadrovali k jednotlivlim dastiam testovania. V dopoludiajiich hodinSch syst6m vykazoval neakceptovatel'ni dobu odozvy (10 aZ 30 mindt), po kriitkom vyladeni syst6mu sa pri
testovani syst6mu v odpoludiajiich hodin;ich doba odozvy dostala na akceptovatel'nd hodnotu. Po|et pouiivatelbv lS RDS pri zdt'aZovrich testoch bol vy55i ako je itatistick'i po6et pouiivatelbv v re5lnej prevddzke. Rovnako mala expertn5 skupina kdispozicii hodnotenie vysledkov testu, tak
zo stranv dod6vatel'a spolodnosti Novitech TAX a.s., Kompetendn6ho centra FS a tieZ spoloinosti
lBM, ktord zabezpedila podas testovania technickri asistenciu. Hodnotenie testu lS RDS, ktor6 vyphivalo z vyhodnotenia dotaznikov bolo prerokovan6 na zasadnuti na FS za ddasti vietk'ich hodnotitelbv ako aj expertnej skupiny. Podl'a vri sledkov testovania lS RDS v z6sade plni potrebnd funk-
13
to
roku 2010 pl5novane pilotn6 testovanie modulu DPH bolo na iiadost'
FS
odloiene
22
.l ; I
pri zavedeni lS RDS do cie v poZadovanom rozsahu. Avdak bolo upozornend na niektord rizikii
ostrej PreviidzkY:
o r . r
dohratie resp. premigrovanie chlTbajrlcich dokumentov, zredlnenie stavov nedoplatkov

PrePlatkov,
schvalbvanie platobnych poukazov elektronicky a n5sledn6 dorudenie do udtdrne E5P,

chVbala delimitiicia daiovrich subjektov - bola z testovania vyhidenS,
duplicita evidencie poity v AIS a RDS, nekompatibilita pri schvalbvani poity pre kontrol6rov je lS RDS iba tast', d6leiitejiia dast je lSK2, t6 im chri ba viac,
pri z;it'aZovrich testoch sa ukdzalo, Ze syst6m
RDS vyZaduje podstatne viiiSiu vripodtovrl kapacitu To m6ie mat dve (vziijomne sa nevyludujrice) ziikladn6 pridiny neZ informadnri systdm KONS.
o .
KONS
je navrhnutri a implementovanli efektivnejiie ako
RDS,
KONS zatial'nemd plnri funkcionalitu a pracuje s podstatne menSou

RDS.
mnoiinou ddajov
ako
V budfcnosti sa odporrida d'aliie vyladenie poEitadovej architektfry lS RDS a takisto optimaliz5cia

SQL
prikazov pre operdcie nad databdzou.
lS RDS bol nasadeny
do prevddzky na
FS SR
18. aprila 2012. Pri jeho opdtovnom spusteni moZno
konitatova{,
Ze:
Do RDS bol zapracovanri zdkon 47912009 O orgiinoch Stdtnej sprdvy v oblasti dani a poplatkov a o zmene a doplneniniektonfch z6konov, ziikon 563/2009 O spriive dan((daiovV poriadok) a o zmene a doplnen( niektonich zdkonov sa priebeZne realizuje (v dafiovom syst6me je cca 600 5abl6n dokumentov, zapracovdvajd sa priebeZne podl'a potreby), vyhl;i5ka 378 o sp6sobe oznatovania platieb, bein6 legislativa (nov6 vzory priznani),
Prepojen ie RDS na: eTAX ( a sluZby ktord poskytuje), VIES, VREF, lSK2, J KM, Co rwin , Cezir, Not6rska komora, SKEN. Prepojenie na EZU ide ndhradnfm sp6sobom cez SKEN, active
directory o novrich pouZivatelbch.
r .
Zatial'nie je zrealizovan6 prepojenie na DWH
d6vod je na strane DWH nie
RDS.
VietkV vzniknut6 prob16my sa rieiia priebeZne podl'a ich priority. Vel'a ddajov sa musi do RDS nahadzovat' opakovane, pretoie na n6beh bol danri 1 t,iidefi, za ktoni sa ned6 vykoanaliiza, odladenie aj nasadenie do prevddzky. Migriicia je o to zloiitej5ia, ie v RDS srj siln6 vdzby medzi ridajmi a chybnou migr5ciou by sa urobilo viacej ikody ako osohu. nat migrdcia ddt
23
r ', : I
poskytol na z6klade urgencie na RV UNITAS dfia 76.3.2O!2 taUuO.a Kompetenin6ho centra FS t.j. technickri a funkdnrj Specifik6ciu jednotliv'ich modulov lS KONS. poiadovand dokument6ciu, pracovnom stretnuti s vlivojovri m timom, na ktoExpertnd skupina sa zridastnila dfia 29.3.2012 na lS vyjasnili otiizky filozofie, koncepcie a sridasnri stav vo vlTvoji' lS KONS rom sa okrem prezent;icie je dokonEen,i, v prev6dzke sri zatial'nasaden6 len niektor6 moduly a syst6m podl'a spr6v dennie
tZ.f.Z
t<OltlS
vykazuje znainf chybovost'. Na odstrdneni t'ichto nedostatkov a dokondeni lS KONS na DR syst6mu doddvatel'intenzivne pracuje. Dfia2.4.2O12 boli vykonan6 funkdn6 testy Test vykon6vali vybrati pracovnici a testovali najmii nov6 funkcioBratislava na 5evdenkovej ulici. preukanality lS KONS a to daiov6 priznania pre FO, PO a zdvislti dinnost. Testovan6 funkcionality (indikovan6 na prelome marca a aprila 2012) ponechania lS KONS zovalichybovost'. Hlavn6 rizik5 n6ho monitoringu
FS
v ostrej Prevddzke
sf:
e r . r r r r . . o . . . .
nie sd zabudovan6 Ziadne vizby a iiadne kontroly (napr. dovolivr5tit' NO viackr6t), iiadne
zostavy, nie je plnefunkine dobudovanf iiadny modul (diastodne DPH a DZMV) ostatn6sa eite len
vyvijajd,
evidencia predpisov a platieb je neprehl'adn6 (sk6r pripomlna bankovri vfpis ako

nicku zostavu), nedoplatky a preplatky sa nedajd odsrihlasit', len ruine, neobsahuje Ziadne dokumenty (vzory plsomnosti),
fitov-
nie
s
je
prepojenie
administrativnym syst6mom (doruienky
vplyv na predpisy
platnost),
nie sd vizby - nepodan6 DP - vtizvy
pokuty,
oneskorend podania
pokuty,
z6nik prdva vyrubit dafi, zSnik prdva na vym6hanie nedoplatku, nie je pripravenii aplikdcia DPFO, DPPO a priznania nie s( v aplikiicii,
dia 03.04.2012 by sa malizaiat'vracat preplatky
nepreklopend podiatodn6 stavy z APV DlS, nesprdvne vykazovanie stavu osobn6ho tidtu
DS,
nevySkolenipouiivatelia.
24
porovnanie plnenia zdkladnrich funkcionalit dafiov6ho informaindho syst6mu pre uvaiovan6 inje uveden6 vtabul'ke d.1. Treba vSak konStatovat', Ze funkcioformadnd syst6my lS RDS a lS KONS nality lS KONS, aZ na funkcionalitu DPH a DZMV, vykazujrj znadnd chybovost'.
r,
lSrRDS,i'
+ +
+
bozniimk;i.'
.IS.KONS
+
Resister
''poin6tnkb 6.2.20t2
20.2.2012 20.2.2072
tldtovnictvo
DPH
+ + + + + +
DP PO DP FO
+
+ + +
2.4.20\2 2.4.20L2
2.4.2012
2.4.201,2
DZZe
DZ MV
Pdrovanie
P
+ + + + +
+
replatkv/n edo pl atky
Sankcie
KontrolV
Exekdcie
Stdtnv dozor Pokutv a poplatkv
Tabul'ka 1,: Plnenie ziikladnti ch funkcionalit dafrov6ho informain6ho syst6mu
12.1.3 sDS Dia 30.3.2012 sa expertnd skupina zridastnila pracovn6ho stretnutia s predstavitel'mi spoloinosti IBM Slovensko, ktor6 na z6klade zmluvy vyvfa 5OS. Predmetom pracovn6ho stretnutia bolo prerokovanie koncepcie, technologickych aspektov, Struktdry a sdtasn6ho stavu vo vrivoji 5DS. Ziiro-
vefi boli aj prediskutovand moinosti a poZiadavky na srjdinnost 5OS s lS RDS a lS KONS. Z prezentdcie a diskusie vyplynulo, ie tento pl5novanri cielbvri l5 je v sridasnosti v priprave na 1. pilotn6testovaniemodulusprdvyDPHod !0.4.20!216,diZeposudzovaniejehofunk[nosti niejev
dase
vymedzenom na audit moin6.
12.2 Zhrnutie
Expertnd skupina mala posudzovat'trisyst6my: lS RDS, KONS a 5OS z hl'adiska ich poZadovanej
funkcionality a sf ladu s legislativou. K syst6mu lS RDS nedostala Ziadnu dokument6ciu, ale mala moinost posridit' jeho fungovanie; k syst6mu 15 KONS mala najviac inform6cii (dokumentdcia, monitoring, testovanie), k 5DS dostala ziikladnri informSciu a rozsiahlu dokument6ciu (zviiiSa analytick6 a koncepdn6 materiSly Dahoveho informadn6ho syst6mu).
15
podl'a [16]
'o pldnovanri
termin bol kv6li nasadzovaniu lS RDS posunutri o 2 tliidne
25
lnformicie
zmluvy
Specifikiicia
IS RDS
KONS nte
5os
Dodatok
ano
2
nte
nre
ano
projektovii dokumentScia
nte
ano
nte
testova nie
p
ano ano
ano ano
nte
reze ntd
ci a
ano
komunik6cia s doddvatel'mi
nie
ano
ano
Tab. 2. PodkladV pre posudzovanie moinych rie5eni
DIS
12.2,J Furrkcionalita
Z hl'adiska
reillnej funkcionality bolo moin6 posudzovat'len dva syst6my
lS RDS a lS KONS. lS RDS
plnil poiadovan6 funkcie potrebn6 pre sprdvu dani, systdm KONS mal dokondend len niektor6 moduly a aj tie neboli dostatodne odladen6 (velkd chybovosf),
.
2010),
dast'
modulov nebola dokondend (pozri Tab.
1).
O buddcej funkcionalite syst6mu 5OS bolo moZn6 usudzovat'len na ziiklade dokumentdcie (z roku
io
na posddenie re5lnej funkcionality nepostaduje,
12.2,2 Srilad s Iegislativ*u Dafiov6 ziikony. Poiiadavky relevantn6 pre DIS vypllivajrice z daiovrich zSkonov s0 dvojak6ho druhu: Specifick6 a vieobecn6. 5pecifick6 poiiadavky sa tri kajd organizdcie Finandnej sprdvy, postupov pri spr6ve dani, vedenia dokumentScie, povinnosti zainteresovanrich subjektov a pod. Tie-
to poiiadavky sa premietajri jednak do samotnej architekt(ry DlS, ddajov, ktor6 obsahuje, sp6sobu ich spracovania, vrf'stupov, pristupovrich priiv a pod. Overenie plnenia trichto Specifickfch poiiadaviek si vyZaduje detailnri znalost'problematiky sprdvy dania mnoistvo dasu a kedTe presahuje moZnosti expertnej skupiny, expertnd skupina pri audite do takvch podrobnosti nezach6dzala, ale zaoberala sa len t17m, di sa vo FS SR uplatfiujrl postupy na zaistenie sriladu DIS s poiiadavkami
zdkonov. KedTe FS SR by sa prevddzkovanim DlS, ktorri nespifia poiiadavky zdkonov dostala sama do rozporu so z6konom (minimdlne zdkonom o ISVS []-l a jeho Standardami [2]) ,
26
,r, ..i':r ., ,r.,r1.:,.;-1
'
,'r,i : ::
j, 1. i...
;
poZadovand poZiadavnesmie akceptovat'Specifikdciu syst6mu, ktor6 neobsahuje vietky

ky,
. i :)'
.: :' Z. ,. ,
nesmie akceptovatvyvinutli syst6m beztoho, aby neoverila, di syst6m bol implementova-
n'i v s[lade so 5Pecifik;iciou'
'Na zdklade projektovej dokumentdcie k syst6mu KONS, analytickrich dokumentov k syst6mu 5DS, , dokumentdcie k priprave a vyhodnoteniu testovania syst6mov RDS a KONS a ridasti na testovapouZiva poniach syst6mov RDS a KONS expertn6 komisia konitatuje, ie FS SR md vypracovan6 a syst6mov so zdkonom. V pripade syst6mu lS RDS, stupy na zaistenie srjladu novrich informadnlich jeho dpravy riadili podobku ktordmu nebola dodanii dokumentdcia moZno predpokladat, iesa jeho predchodcu APV DlS. nf mi pravidlami, ako aktualizdcia VSeobecn6 poiiadavky dafi ovrich zdkonov.
1.
pouiivanie slovensk6ho jazyka.
Oba syst6my, lS RDS a lS KONS pouZfvajri slovenskli jazyk. Expertnd skupina nemala moZnos{skrimat 5oS a teda splnenie tejto poZiadavky je potrebn6 u SDS preverit'. Aj v syst6me KONS ai v 5OS
viak pouiiva ne5tandardnii terminol6gia. Ak by to aj nebolo v rozpore s legislativou, m6Ze to sp6sobovat probl6my so zavSdzanim jedn6ho di druh6ho syst6mu, nakol'ko pou2ivatelia nebudtl
sa
neitanda rdnrim pojmom rozu miet'.
2.
elektronickd komunikdcia a pouZlvanie zaruien6ho elektronick6ho podpisu.
Daiovli subjekt m6ie komunikova{ s DIS prostrednictvom lnternetov6ho port5lu eTax. V rdmci projektu KONS bol navrhnutri a implementovanri subsyst6m EZU (elektronickV zber ridajov), ktoni m6 shiiit na prijimanie dafiovlich priznani podiivanrich elektronicky. System RDS sdm o sebe neumoifiuje prijimanie elektronicklich dafiovrich priznani, ale je moZn6 jeho prepojenie na EZU. Podobne je s EZU moine prepojit'5OS. Oa roku 2011DlS prijima elektronick6 priznania DPH podpisan6 zarudenlim elektronickri m podpisom prostrednictvom portiilu eTax. FS SR zatial'neprevddzkuje vlastnri akreditovand certifikadni autoritu, ale vyuiiva kvalifikovan6 certifikdty (a pripadne in6 certifikaind sluZby) existujrlcich A-CA. Daiovrim subjektom prideliliidentifikadn6 disla, kto16
pouiivajti aj na autentifik6ciu prielektronickejkomunik6ciicertifikdty sa vyuZivaj( priprihlasovani do systdmu. V r6mci projektu KONS bola navrhnut6 a implementovand vlastnd PKI:
Ciel'om vybudovonia certiJikainej outority pre systdmy Finondnej sprdvy (d'alej FS)ie podpora bezpeinostnych mechonizmov infroitruktiry a oplikdcii Finoninej sprdvy v oblosti outentifikdcie komunikujicich strdn, zabezpeienia d6vernosti o integrity spracovdvanych Adajov.
Certifikaind autorita
FSCA
bude internou certifikainou autoritou
FS,
ktord by mola zo zo'
(,iatku pokryt poliodovky no bezpeinostne mechanizmy spojene s autentifikdciou pouiiva' tel'ov, ochrany sikromia (data privocy) a integrity ddt a v d'aliich fdzach rozvoia
pod po r u o
e Ie
roziirit
ktro nicky po dp is.l21l
27
,:r,,.i:
i:. ,.i
.,
,l
1). 'r.-!;'.r. ,L;.,.rii{! d\r;!
,,i', l'iii,.l
'
':
ilJ '
,i
f, : L siie pKt FS SR nemusf riadit poZiadavkami

'.;1,
l(:,:/t',
:;- :,1
.-
ij : il. i rtui6t mimo FS SR (napriklad ll i ii r'

ii
pre dafiov6 subjekty, vz{ahovali by sa nafi ustanovenia z5kona iiti '',, b elektronickom podpise), a ak by vyd6vala kvalifikovan6 certifikaity a dasovd peiiatky hoci len pre ir FS SR, musela by splnit' podmienky pre akreditdciu podl'a zdkona [7], Ak by FS SR mala ambiciu
uydeu.t certifikSty pre dafiovd subjekty (prezentovan6 na RV UNITAS), dostala by sa do rozporu so zdkonom, pretoZe poskytovanie certifikadnVch sluZieb je podl'a zdkona o elektronickom podpise podnikanim.
:l .''
zdkona o elektronickom podpise, ale aj tak sa nafi poskytovala certifikadn6 , vztatruje ziikon o ISVS [1] a (bezpednostn6) Standardy [2]. Ak by FSCA
::
L'rri
i, i
foskytnutd dokumentdcia [20] obsahuje len ziikladn6 informScie o FSCA a ked?e ide o syst6m, pomocou ktor6ho sri implementovan6 d6leZitd bezpednostn6 funkcie DlS, bude prefi potrebn6
vlpracovat bezpednost nri proje kt.
Z6kon o ISVS a Vri nos MF SR E. 3L2l2lO o Standardoch pre ISVS.
Expertnii skupina posudzovala s0lad syst6mov lS RDS, KONS so zdkonom a Standardami pre ISVS. Zistila, Ze tieto syst6my nespfiald platn6 Standardy pre lS VS. Len pri zbeZnom posddeni, pretoie podrobn,f audit by trval najmenej 6 mesiacov, je moZn6 konitatova{ nesrilad napr. s ustanovenia-
mi prilohy t, 3 a 4 uveden6ho Vrinosu. lde o problematiku vyplfiovania elektronickrich formuliirov, aplik6cia webovrich sluiieb, d'alej nesrilad s prilohou d.4 uveden6ho vrinosu, ktord hovori
o Sta nda rdoch pre riadenie i nform adno-tech no logicklich
p
roj
ektov.
Privlivoji a najmd nasadzovanisyst6mu KONS bol poruienri 5 3., ods. (4), pism.
b)
zdkona o ISVS,
5 3., ods. (4), pism. bl zobezpeiovot plynuli, bezpeini o spol'ahlivtt prevddzku informoinych systdmov verejnej sprdvy, ktore si v ich sprdve, vrdtone orgonizaindho, odborndho a technickdho zobezpeienia,
nakolko bol nasadenll, lS, ktorri nebol dokondeny, otestovany, pouiivatelia neboli vy5koleni na jeho obsluhu a bol odstaven'i predchddzajrici fungujrici syst6m, dim bola naruiend plynu15 prev6dzka DlS. Ak je DIS prvkom kritickej infraitruktriry, tak nasadenie nedokonden6ho KONS je v rozpore aj s 5 9 ods. (1) Zdkona o kritickej infraitruktrire [5], podl'a kto16ho Prevddzkovotel' je povinny ochrafiovat prvok pred noruienfm alebo zniienim.
a naruienie je akdkolvek udalosf alebo dinnost', ktorej d6sledkom je zniZenie funkdnosti syst6mu.
opr6vnend spracovdva{ osobn6 ddaje. Ale pri v,fvoji KONS doSlo k testovaniu syst6mu na produkdnlich Lidajoch, dim mohlo d6jst18 k spristupnePodl'a zdkona o ochrane osobnrich ridajov
FS SR
je
tt
FSCA v skutotnosti pozostdva z koreiovej CA sluibv pre FS SR.
jej podriadenej
CA, ktorS poskytuje
vybran6 certifikaind
28
ddajov tretej strane a k poru5eniu zdkona i.42812002 Z. z. o ochrane osobnrich tida-
'l'irta
5OS .;e
len vo f6ze vfvoja, posudzovat jeho srilad s legislativnymi poZiadavkami nie je moZdruhej strane, k lS RDS expertnd skupina nedostala Ziadnu dokument6ciu, a preto nebolo
i;, i,li'seiieinostnd
$ ii '+l
.l:
,i., iggigf.,ivy
fSVS z
FS
poZiadavky na DIS vyplyvajri zo zSkonov a Standardov tfltZltSltOl[7] a z internej SR. Tieto poiiadavky najpodrobnejiie ipecifikuje Vfnos MF SR o Standardoch pre
ktordho expertnd skupina (po doplneni ipecifickfch bezpeinostnfch poiiadaviek z infch
relevantnrichzdrojov)vych6dzala'
il , V Daf,ovejsprdve FS SR (k situdciiv Colnejspr6ve expertnd skupina nemala podklady)je zavedenri ii ,, syst6m riadenia informadnej bezpednosti podl'a ISO/IEC 27OO2. Podl'a anahizy t15l DR SR malo i' |yivorend jednak bezpednostnri politiku daiovfch orgdnov , schv6lend vedenim DR SR aj .' bezpeinostnr.i politiku lKT, ktor6 definuje bezpednostn6 ciele, zodpovednosti a bezpednostn6
poiiadavky, ale len pre lKT. Okrem toho bezpednostnd politika IKT uvddza aj niekto16 Specifick6 poiiadavky pre lKT. Bezpednostn6 poiiadavky formulovand v bezpednostnej politike
bezpednostnej politike IKT sri podrobnejiie rozpracovan6 v smerniciach
a
o ochrane osobnrich ddajov
o pristupe tretich strdn

o ziilohovani dilt
o pouZivand prostriedkov
lS
r o . . .
pr havarijnd pldnovanie
pr vstup a pobyt v zabezpeEenrich priestoroch danovfch orgdnov
SR
pre riadenie a monitorovanie bezpecnostnych rizik DO usmerneni pre sprdvu a generovanie hesiel
SR
Bezpednostnrich zdsad6ch pre obstardvanie, vrivoj a aktualizdciu informadnych syst6mov.
Dafiov6 riaditelstvo vyddvalo Srihrnn6 sprSvy o stave bezpednosti za kalend5rny rok (poslednii zndma bola za rok 2009) a Pliiny bezpednosti dafiovfch orgdnov na jednotliv6 roky (Poslednri zndmy bol za rok 2010). Kaide bezpednosti.
tri roky sa v Daiovej
sprdve vykon6val nezdvislri audit informatnej
tE
nie je zndme, k akri m
ridajom mal doddvatel'pristup.
29
friu
kladu, Ze sa zlLidenim Colnej a Dafiovej sprdvyvfznamne nezmenila bezpednostn6 polioufou"j sprdve, bezpednostn6 podmienky kladen6 na bezpednostn6 okolie DIS s( postadu-
'iitfibfnortne poiiadavky na samotn6 svst6my

l;rlir:irtii rdi., i!
lS KoNs, lS RDS a sDS.
- !.r,i.i'r,
;;,:i:bit r;
J11-,i!.r, :$".iii'oftanrjrjci ndvrh opatreni minim6lne na zdklade zikona o ochrane osobnrich 0dajov, zdkone
kaid,{l ztrichto syst6mov by mal byt spracovanri bezpeEnostnli projekt zaloZenri na analyze rizik o
fi
!\t
IBM ako dod6vate[SDS spravilbezpednostnri analrizu APV DIS a jeho bezpednostn6ho prostredia
*1.' ii i ;;; il i:
[15],avrivodnejsprdve[25]definoval ajstratdgiubezpednosti(dast'a.7)SoS.Xobsahustrat6gie
expertn6 skupina nemd zdvaZn6 pripomienky, ale nemd informdcie o tom, di a ako sa t6to strat6-
u'. realizovala'
expertnd skupina nedostala Ziadne podkladovd dokumenty umoZfiujdce posridit splnenie bezpednostnrich poiiadaviek.
K lS RDS
lS KONS. Ziadne
dokumentyttikajrice sa bezpednosti
lS KONS
expertnd skupina nemala k dispozicii.
Prehl'ad bezpeinostnrich poZiadaviek na DIS a ich plnenie v jednotlivrich systemoch je uvedeny v
Tab.3. Ked?e poias auditu nebolo moin6 overi{takmer iiadnu z povinnrichle bezpednostnrich poiiadaviek, FS by mala skontrolovat'ich plnenie v doiasne nasadenom lS RDS a pre systdmy/subsyst6my, ktor6 budrj tvorit' findlny DlS.
IS RDS
IS KONS
SDS
bezpednostnf projekt
anahiza bezpeinost-
nte nte
nre
nre
nte
ano
n6ho prostredia
Specifikdcia bezp. nie
nte
nie
poZiadaviek na syst6m
ana
hi
za rizik
nre
nte nte
???
nte
ndvrh opatreni implement6cia
nte
???
nie
???
opatreni
Tab.3. Bezpednostn6 poZiadavky na

1e
DIS
ide o poiiadavky vyptrivajrice z tegislativy
tllt2lt5lt6llTl
30
lF
r'ffiqrF*F*,
Ind poiiatlavltY na DIS

',
pri vyvoli a nasadzovani DIS musia by{ dodrZan6 zSsady riadenia softv6rovrich projektov. poznatky ziskan6 z nasadzovania lS KONS vSak poukazujri na to, Ze vrivoj;iri zanedbali niekto16 zSkladn6 pravidlii riadenia softv6rovych projektov, najmii viak:
a.
dasov6 naplSnovanie projektu, dasov6 napldnovanie projektu (Project Scheduling)
nebolo realistick6 (precenili sa schopnosti vrivojov6ho timu). Objektivne treba v5ak konitatovat', Ze vrivoj tak rozsiahleho lS ak'im je KONS si vyiaduje minimdlne
LB b.
ai24 mesiacov.
Neexistencia alebo zl6 aplikdcia postupov zaistenia kvality (Quality Assurance) vyvijan6ho produktu zo strany vrj'vojov6ho timu lS KONS. Do produkcie boli nasadend moduly lS KONS vykazujice velkri chybovost'a nebola dosiahnutd odakdvand
funkcionalita. Nedostatodn6 postupy pri akceptadnom testovani (Acceptance Testing). Do produkcie boli nasadend moduly lS KONS vykazujdce velkd chybovost.
d.
Nedostatotn6 zaikolenie pouZivatelbv. Pri nasadeni dostatoine zaikoleni,
lS KONS
boli pouZivatelia ne-
z.
lnteroperabilita. KONS pri nasadeni nedokdzal korektne spolupracovat's "cudzimi" internfmisubsystdmami a externrimi syst6mami; lS RDS nebol pri nasadenikompatibiln'f
EZU.
3.
IBM Slovensko analyzovala prostredie, v ktorom mii p6sobit5OS
tfZl a vypracovala
rdmcovri stratdgiu bezpednosti [15]; expertnd skupina vSak nemala k dispozicii bezpenostnri projekt ani d'al5ie dokumenty, ktorrich vypracovanie sa v strag6gii predpokladalo. Pre lS RDS ani lS KONS, ako bolo uveden6 v dasti 12.2.3 nedostala expertnd skupina iiadne bezpednostn6 dokumenty.
4.
Efektivnost'. Expertnd skupina nemd k dispozicii zmluvy o podmienkach vrivoja, nasadenia a podpory prevddzky RDS, KONS a nem6ie postidi{efekt(vnost't'ichto rieieni. Dodatok2 k zmluve s IBM [10] dokumentuje, ie nasadenie 5OS si bude vyZadovat zakdpenie vel'k6ho
podtu licenciiSAP
Celkov'i poiet doddvanlch licencii SA P Tax and Revenue Management for PS je 3 950 000 Business partnerov (dodavone v zmysle SAP liceninei politiky v balikoch po 50 000). Celkovy poiet doddvonych licencii SAP Application Professionol user v poite 1 330 votel'ov. [10]
pouii
Roinri poplatok za podporu (SAP Enterprise Support) le22% bez DPH. S d'alSimi niikladami je potrebn6 uvaTovat pri ipravdch nasaden6ho rieienia, ktor6 s[ v d6sledku dastych
zmien viac nei pravdepodobn6 (233 Dodatkov ku zdkladnej zmluve so spolodnostou
Novitech Tax v priebehu 10 rokov). Expertnd skupriina povaiuje za nevyhnutn6 prehod-
37
ii. notit'p6vodnd odhady n;ikladov (a prinosov) projektu UNITAS a zohl'adnit' podmienky upojr, nasadenia a previidzky syst6mov lS RDS, lS KONS a 5DS. !1i,;,
Funkcionalita a pouZivatelskd rozhranie. lS RDS md funkcionalitu APV DIS a splfia zdkonom stanoven6 poZiadavky na funkcionalitu, lS KONS nemal v dase auditu poZadovantl
funkcionalitu
vykazoval zdvaZn6 chyby aj v implementovanrich funkciiich. nemii expernd skupina na z6klade doho posddit'. lS RDS md textov6 Funkcionalitu SDS
a naviac
pouiivatelsk6 rozhranie, kto16 podporuje zaikladnri funkcionalitu, ale nesplfia poiiadavky na jednoduchost', ndzornost' a komfort pouZivatela. KONS md grafick6 pouiivatelskd rozhranie, ktor6 by mohlo spifiat' poiiadavky na jednoduchost, prehl'adnost a zrozumitel'nost, keby za nim bol fungujrici syst6m. Z dokumentov 5OS vypl'iva, ie tento syst6m je postave-
je syst6m, ktoni sa len vel'mi{aZko prisp6sobuje pouZlvatelbvi, ale pouiiprisp6sobovat' SAP-u. Expertnd skupina nemala moZnost' vidiet pouZvatelske vatelsa musi rozhranie 5DS, ale na z6klade predchiidzajricich skdsenosti so syst6mami postavenri mi na
nV na SAP. SAP SAp odakdva, Ze 5OS bude mat' Standardn6 SAP-ovsk6 rozhranie, ktor6 sa nebude dat' up-
ravit'podl'a potrieb pouZivatelbv, alebo tak6to dpravy budri ndkladn6.

6.
Pr[prava pouiivatelbv.
a.
je modifikdciou syst6mu, ktoni v Dafiovej spr5ve fungoval skoro 20 rokov a pouiivatelia s nim vedeli pracova{. Expertnd skupina nemala inform6cie o ipeciiilnych Skoleniach pouilvatelbv, vyddvani priruiiek alebo inej podpore pouiivate[ov.
lS RDS
b.
Pri nasadzovanf lS KONS bola jednoznadne podcenen6 priprava pouZfvatelbv.
5kolenia Skolitelbv prebiehali srjdasne s nasadzovanim syst6mu. IBM pldnovala Skolenia pouZivatelbv 5OS, podl'a harmonogramu niektor6 z nich mali byt uZ realizovan6, expertnd skupina nemala moZnost' si overit', 6i tomu tak bolo. Vzhl'adom na charakterSAP a to, iesa 5OS bude odliiovat'od systdmov, s ktoni mi pouZivatelia pracovali, je dostatodne dlhil priprava pouiivatelbv nutnri m
aZ kritickri
m predpokladom rispein6ho nasadenia 5DS.
7.
Podpora syst6mu. Novitech TAX poskytoval na zdklade zmluvy a dodatkov k nej podporu
APV DIS takmer 20 rokov. Probl6m pri lS KONS a 5OS je (okrem
finaninlich ndkladov a
technickej relizdcie) aj pr6vny. Vd'aka Dodatku 2 [10] dod5vatelia poskytujti konzultdcie, vrivojov6 kapacity, ale neposkytujri dielo (syst6m), za ktoni byzodpovedalia na prev6dzku, [drZbu, modifikiicie ktordho by s nimi n6sledne mohli byt' uzavret6 prevddzkov6 zmluvy. PoZiadavkami 8,9 a 10sa expertn6 skupina z dasovych ddvodov nezaoberala.
32
[6vody
existuiircelto stzlvtt IS lra
FS SR
ffi"i
informadn6ho syst6mu20 sp6sobila viiZne probl6my vo Finaninej sprdve. Expertnd skupina fiitiiiouata nasledujice skutodnosti, ktor6 sp6sobili probldmy s nasadzovanim a prevddzkou lS
,ii'a
Finandnej sPriive [28]

4ii{l&t.h, i *'.fi$-+ll
l'.
-.
216
nadasovanie projektu nov6ho lS pre FS SR
tli:ri:i:., :
fj.;i L'iii:L::
!i''ri"*ii-.1"r,
l.t':
.i:
tf*'t"n::i l,*,.
i',ffiii.
j'1r{ri.if"iit,i,
Sdiasne prebiehajf ca zmena Strukt[ry finandnej sprdvy, vr6tane redukcie podtu zamestnancov
lu
Tavldzanie nov6ho, aviak eite nedokonden6ho a neoveren6ho lS do ostrej prev6dzky v takejto nestabilnej itruktdre
':11,,
o r
Privrivoji lS neboli dodrZan6 Standardn6 postupy projektov6ho manaZmentu

Na vrivoj a nasadenie lS KONS nebol dostatodnli das, ktoni ie beine potrebnri pri rieieni a nasadzovanisyst6mov takejto zloiitosti a rozsahu Nezvl6dnut6 prlprava pouZivatelbv. KedZe pri novom lS ide o z6sadnri zmenu pouZivatel'sk6ho rozhrania a pracovnlich procesov je dostatoin6 zaSkolenie nevyhnutnou podmienkou prijatia syst6mu pouiivatel'm
i
,T3 ZAvery a odporritania

rNa z6klade vyiiie uvedenrich poznatkov expertnS skupina po posfdeni z:itaZovrich ale aj funk,.' inVch testov lS RDS, ako aj po posidenivybranrich funkdnrich testov lS KONS (modulov DPH, Dane - FO, PO, DzMV) odporfda:
1.
FS SR
na zmluvnom zdklade a k stanovenym terminom zaviazat spolodnost' Novitech TAX,
a.s. dopracovat'chribajdce funkcionality ako sd napr. nov6 dafiov6 formuldre

AIS, JKM a i.
2. 3.
r.2O!2, doEZU,
programova{ rozhrania medzi lS RDS a novymi modulmi v prevddzke ako sri napr.
Pri uspokojivom splneni podmienok uvedenyich v bode 1 nasadit'doiasne lS RDS na
FS SR.
ispeinrich testoch modulov a funkcionalit lS KONS rozhodnllt, kraiovalo v d'al5om vfvojitohto syst6mu
Po
di
je vhodn6, aby sa po-
20
td bola najviac viditel'nou ale nie jedinou pridinou probldmov
33
11,....,,.".
,,
it' ekonomick6 predpoklady projektu UNITAS (n6klady/prinosy) na ziiklade potnatkov s vlivojom a nasadzovanim 15 KONS, lS RDS a SDS' nasadenim 5OS na Finandnej sprdve prostrednictvom Standardndho programovdho [:li[, SAp TRM bude nevyhnutnd overit' srilad pouZitej terminol5gie v syst6me 5DS predpoklad, ie niektor6 Ci! piatnVm prdvnym stavom v oblasti dani a riitovnictva. Je reiilny
lgf+f:' '-..
fiorZite pojmy, resp. ich vriklad sd v rozpore s potrebnd overit' podas akceptaEndho testovania, ale skrisenosti z aplikaicii syst6mu y. inlgh oblastiach verejnej sprdvy sk6r potvrdzuid tieto tvrdenia.
,--.-
:-L...,.r,t^r
platnlm prdvnym stavom. Tieto skutodnosti

SAP
iiii ,nou, vyhodnotif referencie aplikdcie
5DS, ale aj celkov6 pouZitie platformy SAP v lS vo
l'verejnej sprSve v krajin6ch EU. Preverit' a znova posridit' d6vody predo obdobn6 syst6my ii'i" s,i nasadend v relevantnrich krajiniich E0.
VSeobecnd odpoririania
Viace16 priiiny existujdceho stavu lS
' ':, ;'.'l
FS
je moZn6 zovieobecnit'. Aby sa v budrlcnosti 5t5tne
inSti-
tdcie vyhli podobnrim probl6mom je nevyhnutne: Dostatodnd pr6vne zabezpedenie lT projektov. Pri zmluvnom zabezpeieni dodiivok minimalizovat riziko monopoln6ho postavenia doddvatel'a. Po skondeni projektov je potrebn6, aby autorsk6 pr5va na zdrojovli k6d, ddtovli model a cel6 dielo preilo do vlastnictva odberatel'a. Vel'k6 Stdtne
z6ujmy vlastnej inititricie
inititricie by mali mat' siln6 informatick6 skupiny, schopnd adekviitne hdjit' voii doddvatelbvi lTllS (Specifikovat' poiiadavky, posridit' nivrhy,
navrhnrit' zmluvnd podmienky, monitorovat' priebeh projektov, formulovat' poiiadavky na

zmeny, formulovat' akceptadn6 kriterid a preberat lS) Pri velklich projektoch sa zd6razfruje funkcionalita rieienia na rlkor plnenia legislativnych
a bezpeinostnlich poZiadaviek, do m6ie sp6sobovat vdZne probl6my v budIcnosti. DoddvateI preto musi zaistit' naplnenie t\?chto poiiadaviek v priebehu cel6ho Zivotn6ho cyklu syst6mu a nesmie akceptovat'systdm, ktoni tieto poiiadavky nesplfia.
34
ncie
Fiji. c| ,ir
Y:,.1'.
iliZd*o, i.
n ie
275/2006 Z.z. o informain,ich systdmoch verejnei sprdvy a o zmene a doplneni

z
kto ri ch
d ko n
ov
l""Vinos i.312/210 Z.z. Ministerstvo linonciiSlovenskei republiky o itandardoch pre infor-
ft'f{ii''; moind systdmy verejnej sprdvy

l.liri t3t Zdkon i.563/2009 rt8"'r3 !}i!irltl.-r
ii;liJ.
1
'
\-rtt/t:i
,
Z. z. o sprdve dani (dofiovy poriodok) a o zmene a doplneni niektorych
rii{ri;i^lil-: .:1..iirr;".... l,'

:*
zdkonov
:r'l:;'r"i
,i:l.:li.tji
:.'
ri:,li;l
:il
!l4l Zdkoni.333/20L1-Z.z.oorgdnochltdtnej sprdvyvoblosti dani,poplatkovacolnictva

l5l zdkon i.45/2011
2.z. o kritickej
Z, z.
'.r ir',-'+ !ra,. :- !,lio,i; rli
infraitrukttre
v zneni zdkono
;1li . ;
;';
l.,ili.l, l6j Zdkon i. 428/2002 -Li:.li -:,!-:.;l ' '

'' ,-rri1.1
i i i ,;.
':
o ochrane osobnych idajov na i. 576/2004 Z. z. a zdkona i. 90/2005 Z. z.
t. 602/2003
Z. 2., zdko-
r' ' rf
iri'j
pl
;,
";
Zdkon i.215/2002 Z.z. o elektronickom podpise o o zmene

v zneni
o doplneni niektorych
zdkonov
neskoriich predpisov
Reforma dofiovej a colnej sprdvy o zjednotenie vyberu dani, cla a poistnych odvodov (rdmcovd analyza a ndvrh postupu). MF SR,2007
Koncepcia reformy dofiovej o colnej sprdvy s vyhl'odom zjednotenio vyberu dani, clo a po-
istnych odvodov. MF
SR
2008
Zmluvy
ll0l
Dodotok t..2 ku Zmluve o poskytovoni sluiieb medzi MF 5& DR SR a IBM Slovensko, spol. s.r.o. z 30.03.2011
35
o vystedku kontroly plnenia dortovych priimov itdtneho rozpoitu Slovenskei repub-
postupu Finoninej sprdvy Slovenskej republiky pri sprdve danf

NKtj SR, 2012
a kontrolo plnenia
PV OIS a IS RDS
tiastkovy dokument sltasndho stovu fyzickej

'stredia, verzia 6.0., IBM Slovensko 2010
logickej orchitektlry informoindho pro-
Zhodnotenie stavu lS, identifikdcio moinych rizik pri implementdcii novdho

IBM Slovensko 2010
/$ verzia 3.0.,
Zdokumentovanie aplikdcii. verzia 3.0., IBM Slovensko 2010 5lZdokumentovonie bezpeinostnej strotegie, verzia 2.0., IBM Slovensko 2010
L6l Spustenie
o ndbeh /5 RDS o rieienie probldmov v procese ndbehu. Prezentdcia spoloinosti
Novitech Tax, s.r.o., dfia 15.3.2012.
KONS
lITl lpecifikdcia f unkcii
KOIVS
/i
verzia 4.0.,Bank Pro Soft, 2011
[18] /(ONS IS - Technicky ndvrh KONS
/t
verzia 2.0., Pro Soft, t2.8.2OLI
ll9l
Funkind ipecit'ikdcia. Elektronicky zber idajov (EZU).Verzia 6.1. Bank Pro Soft, 22.t,2072
l20l Detoilnd funkind ipecifikdcia FSCA, Verzia 1.02, Bank Pro Soft, 7.I2.2O7t
l2tlSpecifikdcio rieienia
AIS
pre Finonint sprdvu S& Verzia 2.0, Bank Pro Soft, 28.7L.20L1
l22l Ndvrh komplexndho postupu realizdcie KONS /5 na zobezpeienie funkinosti a efektivnosti Finaninej sprdvy od 1.1.2072 z pohl'odu tT pre Dofiovi sprdvu Materidl na zosadnutie RV
UN|TAS (21.6.201"1_)
l23lsprdvo o
tra
FS SR
stove spracovania registra, sprdvy dani o pristupovd prdva (DPH, DzMV a Z0v systdme KONS /5 k 23.0j.2012 spracovalo oddelenie vri konu sprdvy dani, oddelenie regis-
36
lL-
projektu iDS, prezentdcio IBM Slovensko, 30'3.20L2

1'sprdva o plnenizmluvy, verzia 2.5, IBM Slovensko, 23.6.2010
ionceptu realizdcie rieienio
lS k
1.1.2012, verzia 2.0 IBM Slovensko, 30.12.2010
il6 anal'ltzy
poriadok verzus zdkon
sprdve dani. Poradca podnikatel'a, 24-tt-20!1"
/www.pp.sk/1558/Da novy-poriadok-verzus-za kon-o-s prave-da n i-DAU37985.aspx
i..
Jotbjrir 16.rt
ii:'
D.,
Horviith P., Hudec L. Predbeind sprdva expertnei skupiny o vysledkoch auditu informaineho systdmu" Finantnej sprdvy 5& Bratislava, april 2012 (Priloha
't4'
i!
37
i'!***-,,
ohY.
ilredbeZnf sprfr,t erperfrtej skupinl'r-r v5.'sledl'l*ch alditu ..D*iov6ho inlbrlnadii Otr o systOrn u" Iii tr ttl I rt t,i syl nir','t' S It
nie expertnej skuPinY
iiiib,iij.rtna skupina, vymenovan6 predsednidkou vl6dy SR a so srlhlasom prezidenta SR pracovala
i:!':,:l:,ilij;'.
ia.ivltomto zloZeni: Doc. RNDr. Daniel Olejrir, PhD., vedfrci Katedly informatiky FMFI UK v Bratislave, ko-
i:iiijit'iliii o ''l ::i;l.i;i, ,, ,'$:l'l I. : ..;.i i.'

. ;.lri,;i
ordin6torexpertnejskupinv
Prof. Ing. Pavol Horvdth, PhD., riaditel' Centra vifpodtovej techniky STU v Bratislave
Yuu. 1116. I Doc. Ing. Ladislav
Hudec, PhD., riaditel' Ustavu aplikovanej informatiky FIIT STU
i.
v Bratislave
,.i.'Eiiiertna skupina zadala svoju pracu 15.3.2012

Ciele auditu IS FS
i'p5rfdtt sridasnli stav pripravenosti infolmadnfch systdmov Finandnej spriivy SR a ich srilad s prf, i slu5nlimi z6konmi a internymi prdvnymi aktmi.
Posudzovan6 informadn6 syst6my a ich strudnd charakteristika
.;;
, t.
r . '
il
).
IS RDS predstavuje upravenf verziu p6vodndho informadndho systdmu APV DIS spolodnosti Novitech TAX, a.s. Tento systdm, pracujrlci nad dafab|zovym systdmom INFORMIX, je technologicky prekonany, pouZivatel'ske rozhranie je textovd, archaickd, av5ak zamestnanci Daiiovej spriivy predchridzajricu vcrziu tohto systdmu, APV DIS, pouZivali dlh6 roky a sri nai zvyknuti. IS KONS, ktory pripravila spolodnost'Bank Pro Soft, a.s., prostrednictvom person6lneho lizingu cez spolodnost' IBM Slovensko, s.r.o. predstavuje koncepdne a filozoficky modern6 rie5enie, ktord pelspektivne mdZe sp[iat'podmienlry projektu UNITAS. Riesenie je postaven6 na novonavrhnutom programovom systdme nad databdzovlim syst6rnom ORACLE. IS KONS v pripade jeho nasadenia pledpoklad6 vyuZitie samostatnlich modulov ako napr. e-Dane, EZU, AIS a i. Standardn5i danovy systdm, SnS pLe FS vyvija spolodnost' IBM Slovensko, s.r.o., na z6klade zmluvy s MF SR. SOS .1" systdm postaveny na Standardnom produkte SAP TRM spolodnosti SAP. Dodrivatel' v tomto pripade rovnako predpoklad6 vyuZitie samostatnych externlich modulov ako napr.e-Dane,EZU, AIS a i.
Met6dy pr6ce
Pre postdenie sridasndho stavu v zmysle
ni RV IINITAS, pracovnlch stretnuti so z6stupcami FS, dodiivatel'ov, zridasttrila sa testovania IS RDS a IS KONS a analyzovala informdcie z poskytnutych materi6lov a inych informadnych zdro-
cielov auditu
sa expertn6 skupina zfdastfiovala sa rokova-
Jov.
38
tij'l
apriek Ziadosti expertnS skupina.nedostala..Ziadnu funkdnri ,.techlickf Specifikdciu, ari lfi|aif. Dia 15.3.2012 sa expertn6 skupina zridastnila prezentiicie tohto systemu na FS SR. i6ttupina satieLpriamo zudastnila procesu testovania tohto sys.tdmu na Dafiovorn rjaditeli*lava dia 27.3.2012, a mala moZnost' hovorit' s relevantnymi zamestnancami DU Bratilbii ,u vy'jadrovali k jednotlivlim dastiam testovania. Rovnako mala skupina k dispozicii nie vysledkov testu , tak zo strany dod6vatel'a spolodnosti Novitech TAX a.s., Kompetendntra FS a tieZ spolodnosti IBM, ktord zabezpedila podas testovania technickri asistenciu. ilnie testu IS RDS, ktord vyplyvalo z r.yhodnotenia dotamikov bolo prerokovand na zasadia FS za ridasti v5etkych hodnotitel'ov ako aj expertnej skupiny. Podl'a r4isledkov testovania IS lflnf potrebnd funkcie v poZadovanom rozsahu. liS-.'Zattup.u Kompetendndho centra FS poskytol na z6klade urgencie na RV LNITAS dria '5012 poZaaovanf dokumentSciu, t.j. technickti a funkdnri Specifikdciu jednotliu-fch modulov S. Expertn6 skupina sa zfdastnila dha29.3.2012 na pracovnom stretnuti svyvojovym tifili'na ktorom sa okem prezent6cie IS vyjasnili oI|zky filozofie, koncepcie a stdasnti stav vo '6.1ii lS KONS nie je dokonden}i, v prev6dzke sri zatial' nasadend len niektord moduly a systdm $b'6dit spr6v denndho monitoringu FS vykazuj e znadm chybovost'. Na odstriineni dchto nedostatl:.,-tibi';a Aotondeni syst6mu dod6vatel intenzivne pracuje. V pondelok 2.4.2012 dopoludnia prebehnri rurrNururr4rrL rrq '.i: ' r,, fuiltcene testy vybranych funkcionalit na vyblanom pracovisku DU Bratislava na Sevdenkovej ul. .. IUIIKUITtr tcsty VJUl4llJlrr
lll4i
::iti::il
il1:.
$,t'' ;ClSn'S Dfia 30.3.2012 sa expertn6 skupina zridastnila pracovn6ho stretnutia s predstavitel'mi spolodgl i;liiost! IBM Slovensko, ktorii na zitklade zmluvy vyvija SDS. Predmetom pracovndho stretnutia bolo -a ,l'r'plerokovanie koncepcie, technologiclojch aspektov, Struktirry asfdasndho stavu vo vlivoji SDS. ll ' Zeiovefi boli aj prediskutovan6 moZnosti a poZiadavky na stdinnost' SnS s IS RDS a IS KONS. i Zprezentlcie a diskusie vyplynulo, Ze tento pl6novany ciel'ovy IS je v sirdasnosti v priprave na L pilotnd testovanie modulu spliivy DPH od 10.4.2012, diZe posudzovanie jeho funkdnosti je v tomto ;
ii , rdug,tnemoZn6' ,i. :, r,,!j ,1, , Ddvodv existuif

...!l
ceho stavu IS na FS SR:
.f1
r:i. I.rlrr:, '" .Li:.

.
:.
.,; i' .
Zld nadasovanie pr'ojektu nov6ho IS pr:e FS SR

nancov
$ i. ,',i', i" i{ru:tfit1l:. ![l:jlf Sii;j . i'riti ,i' . .i: .r, ;1r,, r r ': :, I .l ul , . li' .', , ,'
.
Zavildzan\e novdho, av5ak e5te nedokondendho aneoverendho IS do ostrej prev6dzky v takejto nestabitnej Str.uktrire Pri r4fvoji IS neboli dodrZan6 Standardn6 postupy projektoveho rnanaZmentu Navyvoj anasadenie IS KONS nebol dostatodny das, ktori.f je beZne potrebny pli rie5eni anasadzovanisyst6movtakejto zloZitosti arozsahu Nezvl6dnutri prfprava pouZivatel'ov. KedZe pri novom IS ide o zdsadnu zmenu pouZfvatefskdho rozhrania apracovnych procesov je dostatodn6 zaSkolenie nevyhnutnou podmienkou prijatia systdmu pouZfvatehni
Zflvery a odporriiania
Na z6klade vySSie uvedendho expertn6 skupina po posirdenf zilt'aLovych ale aj funkdnich testov IS RDS, ako aj po posrideni vybranlich funkdnlich testov IS KONS (modulov DPH, Dane FO, PO,
DzMV) expertnii skupina odporirda:
39
eij Sn na zmluvnom ziklade

fRX,
doprogramoval J, AIS, JKM a i' i,ri uspokojivom splnenf podmienok uvedenych v bode
SR.
a k stanoven;im terminom zaviazat spolodnost' Novitech u.t. dopracovat' chlbajirce funkcionality ako sir napr. novd daiov6 formul6r'e r.2012, rozhrania medzi IS RDS a novymi modulmi v prevddzke ako s[ napr.
nasadit' dodasne IS RDS na FS
:rtl
iii, !!
;$*,'{:{iil;
ii
:,:a,
preto bude vyZadovat' enormnd Skoliace kapacity. ji;;iyzhl'adom na kr6tkost' dasu, nedostatok podkladovfch materidlov Qrlovitech l'AX, a.s.) llj l. a stavom syst6mov KONS a SDS .a expertn6 skupina nezaoberala mimoriadne zinalnol ot6zkou suladu IS s poZiadavkami legislatfvv a bezpednosti.
,lij'' Jeho rispe$n6 nasadenie
n
rispe5nych testoch modulov a funkcionalit IS KONS rozhodnrit', di je vhodnd, aby sa pokadovalo v d'alSou vyvoji tohto systdm bxpertnri skupina vidi v6Zny probldm aj v perspektivnom nasadeni ciel'ovdho IS SDS na fSi pretoZe ciel'ou-i SnS .ie postaveny na SAP, ktorlf je sice komplexn5i, univerz6lny ale m6lo flexibilny. To znamen6. Ze sri obrnedzen6 moZnosti prisp6sobenia IS pouZivatel'om a pouZivatel sa musi prisp6sobovat' IS. lprocesy, terminol6gia, pouZivatel'ske rozhranie)
t -'
i,,l
i L,.
l, ,r
si
t,
,;,.i,!I-dobecn6 odPo rriia ::EiJ,rtu:

,h 1ri
:l
'r1ltr',:i,b'l:
ia
,-, . -a-.L_-r_,-^ l,, : ;Viaibrd pridiny existujriceho stavu lS FS je moZn6 zov5eobecnit'. Aby sa v budricnosti Stiltne inSti. t0cie vyhli podobnlfm probldmom je nerryhnutne: ,,,,,;i;'. Dostatodnd pr6vne zabezpedenie IT projektov. Pri zmluvnom zabezpedeni doddvok mini't.;i.,,.ri : malizovat'riziko monopolndho postavenia dodilvatel'a. Po skondeni projektov je potrebnd, . ,j '*::1. aby autorsk6 pr6va na zdrojovy k6d, dritovy model a cel6 dielo preSlo do vlastnictva odbe-
'l.t|(/j
.a..,.
iii:.;i,,1,
ratel'a.
':iiJfii: i'ii,' '',ll:' .,. : iiii . I ,i . . ,r,ill'" 't;, '
Velk6 Stritne in5titircie by mali mat'silne informatick6 skupiny, schopn6 adekvritne h6jit' zriujmy vlastnej in5titucie vodi dodiivatefovi IT/IS (Specifikovat' poZiadavky, posridit' nd'vrhy, navrhnff zmluvne podmienky, monitorovat' priebeh projeklov, formulovat' poZiadavky na zmeny, formulovat' akceptad.n6 kriteri6 a preberat'IS) Pri vel'kjch projektoch sa zd6raziluje funkcionalita rie5enia na fkor plnenia legislativnych abezpednostnlfch poZiadaviek, do mdZe sp6sobovat v6lne probldmy v budricnosti. Doddvatel'preto musf zaistit'naplnenie tjchto poZiadaviek vpriebehu celdho Zivotndho cyklu syst6mu a nesmie akceptovat' systdm, ktorli tieto poZiadavky nespfiia.
2.4.2072
Darriel Olcjar, PhD
Prof. Ing. Pavol Horv6th, phD

l,
Doc. Ing. Ladislav Hudec, phD
40
i5
ir.
'
iiam a vysvetlellie skratielt

syst6m AdministrativnY informad UNIX-ovskf operadnV syst6m (Advanced lnteractive executive) od firmy IBM amov6 vybavenie daiov6ho informadn6ho systdmu rica svst6m KONS
certifikadnd autorita Content ma informadnri svst6m ment svstem Document man Dafiovd org6ny SR dafiov6 priznanie dafiov6 priznanie fyzickej osoby
daiov6
prizna nie prdvni
dafi z pri
Dafiov6 sprdva SR
d6chodkovd sprdvcovskd spolodnost
dai z motorovrich vozidiel

modul informadn6ho svst6mu Dafiove
r'::r'! ;,:i':;
,: l',1 .r: ,f
.,1::i 1:'r l.
Y rr1
ortdl daiovei spr

Eu16pska rinia
;FIIT STU
'l: rj{i 'i J:11,
elektronickri zber idajov - modul dariov6ho informadn6ho svst6mu Fakulta informatiky a informadnych technol6giiSlovenskej technickej univerzity Fakulta mate a informatikV Univerzitv Komensk6ho
Finandnd riaditelstvo Finandnd sordva
SR SR
Certifikadnii autorita FS SR firma, ktord md pre SR na zdklade zmluvy z r.207O vyvinft' Standardnli dafiovri
ldentifikatn6 iislo organizdcie

lnternationa I Electrotechnical Commission lnformadn6 a komunikadn6 tec databiizovli'syst6m lnformadny syst6m Finandnej Konsolidovanri informadnri syst6m - novri syst6m pre Finandnf sprdvu vyvijanf firmou Bank Pro Soft lnforma6ny syst6m pre reformu Daiovej sprdvy (?) - informaf nf syst6m vyvinut1i firmou Novitech TAX informadn t6m Socidlnei poisfovne
41
&i' . Ll"',r:
syst6m na zabezpedenie efektivneho
vri
beru dafiov'ich subjektov na danovr.r
$ ;i:iil
kontrolu,
ikonu daiovej kontrolv,

lnternational Organization for Standardization
lnformadnV svst6m vere
n6 kontaktn6 miesto
Komunikaind brdna subsyst6m na vrimenu inform6cii pre MIS MK Ministerstvo financii Slovenskei re
]MIS MK SR
M
SR
inisterstvo vnritra SR i kontrolnV drad
doddvatel'sta16ho informadn6ho svst6mu a tvorca inovovan6ho svstemu lS RDS Public key infrastructure
RV UNITAS
r oroiektu UNITAS Systeme, Anwendungen und Produkte in der Datenverarbeitung, medziniirodnd, pdvodne nemeckd softverovd firma vyvijajf ca informadnd systdmy pre manaiment podnikatelsklich dinnosti a obchodnrich vz{ahov; genericke oznadenie re oroduktv firmv SAP dafiovli modul syst6mu SAP, SAP Treasury and Risk Management daiovVch dokumentov svst6m digitaliziicie prijatVch Stru ktilrova Structured Qu SociSlna poistovfia
Slovensk5 technickd u niverzita m vnr,itornei sprdvv
il ;!l'
,i
.il
llj
andardnf danovf
technickd asistencia Reforma daiovej a colnej spr6vy s vfhl'adom zjednotenia vriberu dani, cla
VAT lnformation Exchange
.}{
ii.
#-
*r
ffi"
h',
},:. t.l
Extensible Marku p La ngu zdravotn6 poist'ovfia
42
i.
&ii,,,r^i-,rri;a,,;;,.
Harmonogram prciekttt [{ONS [22]
43

FS Expertna Sprava

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FS Expertna Sprava

Uploaded by

Copyright:

Available Formats

Obsah

1SVS............. infraitruktdre......,............ ddajov..........

.,....,.........,.. 13 .......................13 ...,......14

Ziikon o ochrane osobnfch lnd relevantn6

ktord prenii5a zodpovednost'za kvalitu syst6mu na

FS SR. Expertnd skupina odporrida posrjdit'

je upravenou verziou p6vodn6ho systdmu

APV DlS, ktorii zohl'adfiuje legislativne zmeny

porovnani nefunkdn6ho syst6mu KONS

fungujriceho, hoci zastarandho syst6mu lS RDS expertnd

skupina odporuiila RV UNITAS na ohraniten6 obdobie nasadi{ lS RDS.

ktor6 nemala dost dasu. Tieto sri uveden6 v spr6ve.

riziko podobn,ich probl6mov v Stdtnych inStitrici6ch v budrjcnosti.

toto rozhodnutie, sa predsednidka vl6dy

SR rozhodla vymenovat' nezdvislti

Zloienie expertnei skupiny

Doc. lng. Ladislav Hudec, PhD., riaditel'Ustavu aplikovanej informatiky FIITSTU

Boli formulovand v zmluve medzi FS SR a dlenmi expertnej skupiny nasledovne:

Rozsah a hfbka auditu

Expertn6 skupina vychddzala z nasledujrlcich informdcii

koncepdnrich matJrislov MF zmldv

informdciiz rokovanis predstavitel'mi a pracovnikmi medi6lnychinformdci[,

Najd6leZitejSie3 pouZit6 informadnd zdroje sd uveden6 v dasti 15.

Expertn6 skupina prezentovala diastkov6 zistenia na pracovnrfch stretnutiach s prezidentkou FSSR

9 Sfiasnf stav a vyvoi (Dafiov6ho)

infbrmain6ho syst6mu Finanf-

S0dasnri stav Dafiov6ho lS Finandnej sprdvy SR je vrisledkom skoro 20

roin6ho historick6ho vtivoja

SP, resp, zdravotnrich poist'ovninie srl trimito zmenami zatial'priamo ovplyvnen6.

V obdobi 1993-2012 bola sprdva dani DS SR podporovand prostrednictvom Dafiov6ho informad-

daiovej sprdvy, lS RDS.

V rdmci programu UNITAS I bolo rozpracovanrich niekol'ko projektov.

IBM spoloinost Bank Pro Soft spolu

s niektorlimi d'alSimi paftnermi.s

V d'al5ej Easti opiSeme z6kladn6 poZiadavky na

10 PoZiadavky na Dailovy informatnlf syst6m

ziikladnV syst6m (iadro) Dahovdho informaEn6ho syst6mu (v minulosti APV DIS)

a dopliujfce syst6my v rdmci

formadn6ho syst6mu shiiiace k zvriSeniu efektivity prdce a rozhodovania.

systdmy, kto16 nepatria

ale komunikujri s DIS

systdmu (rozhrania a prierezov6 sluiby, moZno aj nadstavbovd sluZby).

legislativnepoZiadavky funkdn6 poZiadavky bezpednostndpoZiadavky in6 poZiadavky

Organiza6ne jednotky, Dafi ov6 subjekty, Verejnost

Obr. 1. Schdmo dartoveho informoindho systdmu [12]

1.1 Dariov6 z;ikony

Daiovf poriadok poiaduje pouZ[vanie Stdtneho jazyka:

vyhotovuji o podonia dafiovdho subiektu musia bytv itdtnom iazyku.

rcJ.z Ziikon o ISVS

je podl'a $ 2 pism. b) zdkona 275/2006 [1] informadnfm syst6mom verejnej sprdvy.

tohto zdkona je povinnou osobou pre Dafiovy informadnli syst6m

kde poiiadavky vyjadrujri nasledovn6:

Povinn5 osoba tieZ musi

itandordmi informainych systdmov vereinei sprdvy

o ocht'ane osobnych riclajov

ridajov v zneni neskoriich predpisov [6]. V 5 2, ods. (1) pism.

sri uveden6 vrinimky zo z5-

kona, ktor6 sa vz{ahujti aj na DIS:

10.1.5 In6 relevantn6 zfkony

10.2 Ftrnl<in6 pciiadavky na I)lS

4. dai z prijmu fyzicktich os6b 5. 6. 7. 8. 9,

1.0.3 llezpeinostn6 poZiaelavky rla DIS a ieho okolie

plementovania bezpednostnrich funkcii v samotnom DIS a stanovenia predpokladov o sp6sobe

ladu vyvinut6ho systdmu so Specifik6ciou, kvality implementdcie, sily implementovanri ch