13.12.2013 |
SV |
Europeiska unionens officiella tidning |
C 365/172 |
RAPPORT
om årsredovisningen för Europeiska byrån för nät- och informationssäkerhet för budgetåret 2012 med byråns svar
2013/C 365/24
INLEDNING
1. |
Europeiska byrån för nät- och informationssäkerhet (nedan kallad byrån) ligger i Aten och Heraklion (1) och inrättades genom Europaparlamentets och rådets förordning (EG) nr 460/2004 (2), ändrad genom förordning (EG) nr 1007/2008 (3) och förordning (EG) nr 580/2011 (4). Byråns främsta uppgift är att förbättra unionens förmåga att förhindra och lösa problem som rör nät- och informationssäkerhet på grundval av nationella insatser och unionsinsatser (5). |
INFORMATION TILL STÖD FÖR REVISIONSFÖRKLARINGEN
2. |
I revisionsrättens revisionsmetod ingår analytiska granskningsåtgärder, en direkt granskning av transaktioner och en bedömning av nyckelkontroller i byråns system för övervakning och kontroll. Detta kompletteras (vid behov) med revisionsbevis från andra revisorers arbete och en analys av uttalanden från ledningen. |
REVISIONSFÖRKLARING
3. |
Revisionsrätten har i enlighet med artikel 287 i fördraget om Europeiska unionens funktionssätt granskat
|
Ledningens ansvar
4. |
I enlighet med artiklarna 33 och 43 i kommissionens förordning (EG, Euratom) nr 2343/2002 (8) är det ledningen som har ansvaret för att upprätta en årsredovisning för byrån som ger en rättvisande bild och för att de underliggande transaktionerna är lagliga och korrekta.
|
Revisorns ansvar
5. |
Revisionsrätten ska utifrån revisionen avge en förklaring till Europaparlamentet och rådet (10) om årsredovisningens tillförlitlighet och de underliggande transaktionernas laglighet och korrekthet. Revisionsrätten utför sin revision i enlighet med IFAC:s internationella revisionsstandarder (International Standards on Auditing, ISA) och etiska riktlinjer och Intosais internationella standarder för högre revisionsorgan (Issai). Enligt dessa standarder ska revisionsrätten planera och utföra revisionen så att rimlig säkerhet uppnås om huruvida byråns årsredovisning innehåller väsentliga felaktigheter och huruvida de underliggande transaktionerna är lagliga och korrekta. |
6. |
Revisionen innebär att revisorn genom olika åtgärder inhämtar revisionsbevis om belopp och annan information i räkenskaperna och om lagligheten och korrektheten i de underliggande transaktionerna. Revisorn väljer vilka åtgärder som ska utföras, bland annat genom att bedöma riskerna för att det finns väsentliga felaktigheter i räkenskaperna och för att de underliggande transaktionerna i väsentlig utsträckning inte uppfyller kraven i Europeiska unionens rättsliga ram, vare sig det beror på oegentligheter eller fel. Vid denna riskbedömning beaktar revisorn de delar av internkontrollen som krävs för upprättandet av räkenskaper som ger en rättvisande bild och de system för övervakning och kontroll som ska garantera de underliggande transaktionernas laglighet och korrekthet och utformar granskningsåtgärder som är ändamålsenliga med hänsyn till omständigheterna. Revisionen inbegriper också en utvärdering av redovisningsprincipernas ändamålsenlighet, rimligheten i uppskattningarna i redovisningen och den övergripande presentationen i räkenskaperna. |
7. |
Revisionsrätten anser att den har inhämtat tillräckliga och ändamålsenliga revisionsbevis till stöd för sin revisionsförklaring. |
Uttalande om räkenskapernas tillförlitlighet
8. |
Revisionsrätten anser att byråns årsredovisning i alla väsentliga avseenden ger en rättvisande bild av byråns finansiella ställning per den 31 december 2012 och av det finansiella resultatet och kassaflödena för det budgetår som slutade detta datum i enlighet med bestämmelserna i byråns budgetförordning och de redovisningsregler som antagits av kommissionens räkenskapsförare. |
Uttalande om lagligheten och korrektheten i de transaktioner som ligger till grund för räkenskaperna
9. |
Revisionsrätten anser att de transaktioner som ligger till grund för årsredovisningen för det budgetår som slutade den 31 december 2012 i alla väsentliga avseenden är lagliga och korrekta. |
10. |
Kommentarerna nedan påverkar inte revisionsrättens uttalanden. |
KOMMENTARER OM INTERNKONTROLLER
11. |
I byråns budgetförordning och de tillhörande genomförandebestämmelserna föreskrivs att en fysisk inventering av anläggningstillgångar ska göras minst vart tredje år men byrån har inte gjort någon heltäckande fysisk inventering sedan 2009. |
UPPFÖLJNING AV FÖRRA ÅRETS IAKTTAGELSER
12. |
En översikt över de korrigerande åtgärder som har vidtagits som en reaktion på revisionsrättens kommentarer förra året finns i bilaga I. |
Denna rapport antogs av revisionsrättens avdelning IV, med ledamoten Louis GALEA som ordförande, vid dess sammanträde i Luxemburg den 15 juli 2013.
För revisionsrätten
Vítor Manuel da SILVA CALDEIRA
Ordförande
(1) Den administrativa personalen är kvar i Heraklion och den operativa personalen flyttades till Aten i mars 2013.
(2) EUT L 77, 13.3.2004, s. 1.
(3) EUT L 293, 31.10.2008, s. 1.
(4) EUT L 165, 24.6.2011, s. 3.
(5) I bilaga II ges en sammanfattning av byråns behörighet och verksamhet i informationssyfte.
(6) I årsredovisningen ingår balans- och resultaträkningen, kassaflödesanalysen, sammanställningen av förändringar i nettotillgångarna och en sammanfattning av de viktigaste redovisningsprinciperna och andra förklarande noter.
(7) Här ingår sammanställningen av resultatet av budgetgenomförandet med bilaga.
(8) EGT L 357, 31.12.2002, s. 72.
(9) De redovisningsregler som antagits av kommissionens räkenskapsförare bygger på de internationella redovisningsstandarderna för den offentliga sektorn (Ipsas) som ges ut av Internationella revisorsförbundet IFAC eller, när så är lämpligt, på de internationella redovisningsstandarderna International Accounting Standards (IAS)/International Financial Reporting Standards (IFRS) som ges ut av International Accounting Standards Board (IASB).
(10) Artikel 185.2 i rådets förordning (EG, Euratom) nr 1605/2002 (EGT L 248, 16.9.2002, s. 1).
BILAGA I
Uppföljning av förra årets iakttagelser
År |
Revisionsrättens kommentar |
Genomförande av korrigerande åtgärder (Har genomförts/Pågår/Har inte genomförts/e.t.) |
2011 |
Den höga andelen överföringar strider mot principen om budgetens ettårighet. |
Har genomförts |
2011 |
Revisionsrätten konstaterade att dokumentationen av anläggningstillgångar behöver förbättras. Inköp av anläggningstillgångar bokförs per faktura och inte per tillgång. När en enda faktura gäller flera nya tillgångar finns det bara en bokföringspost för alla de inköpta tillgångarna och för det totala beloppet. |
Pågår |
2011 |
Byrån behöver öka insynen i rekryteringsförfarandena. Inga lämpliga åtgärder har vidtagits för att avhjälpa den brist på insyn som revisionsrätten rapporterade om 2010. De minimikrav som de sökande måste uppfylla för att bli kallade till intervju och frågorna till de skriftliga proven och intervjuerna samt viktningen av dem fastställdes inte innan byrån gick igenom ansökningarna. De minimikrav som de sökande måste uppfylla för att föras upp på en reservlista över godkända sökande fastställdes inte innan byrån gick igenom ansökningarna. |
Har genomförts |
BILAGA II
Europeiska byrån för nät- och informationssäkerhet (Heraklion)
Behörighet och verksamhet
Unionens behörighetsområde enligt fördraget (Artikel 114 i EUF-fördraget) |
Europaparlamenttjet och rådet ska i enlighet med det ordinarie lagstiftningsförfarandet och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera. Unionen och medlemsstaterna har delade befogenheter när det gäller den inre marknaden (artikel 4.2 a i EUF-fördraget). |
||||||||||||||||||||||||||||||
Byråns behörighet (Europaparlamentets och rådets förordning (EG) nr 460/2004) |
Mål
Uppgift
|
||||||||||||||||||||||||||||||
Organisation |
Styrelse En företrädare för varje medlemsstat, tre företrädare som utses av kommissionen och tre företrädare utan rösträtt som föreslås av kommissionen och utses av rådet och som var och en representerar en av nedanstående grupper:
Ständig intressentgrupp
Verkställande direktören Utses av styrelsen på grundval av en lista över kandidater som kommissionen föreslår och efter att ha hörts i Europaparlamentet för en mandattid på fem år. Extern revision Europeiska revisionsrätten. Intern revision Europeiska kommissionens tjänst för internrevision. Myndighet som beviljar ansvarsfrihet Europaparlamentet på rådets rekommendation. |
||||||||||||||||||||||||||||||
Medel till byråns förfogande under 2012 (2011) |
Slutlig budget 8,2 (8,1) miljoner euro, varav bidrag från unionen 100 % (100 %) Personalstyrka den 31 december 2012 44 (44) tjänster enligt tjänsteförteckningen, varav tillsatta: 42 (41). Övriga tillsatta tjänster: 12 (13) kontraktsanställda, 4 (4) utstationerade nationella experter. Personalstyrka totalt: 58 (58), varav anställda med
|
||||||||||||||||||||||||||||||
Produkter och tjänster 2012 (2011) |
Arbetsområde 1 (WS (1) 1): Identifiera och reagera på utvecklingen av hotmiljön Bedömningar av nya hot är en nödvändig del av förberedelserna för kommande utmaningar. Målet för detta arbetsområde var att utarbeta ett antal uttalanden om beredskapen när det gäller it-säkerhet inom olika områden och regeringsinitiativ, särskilt avseende medlemsstater och kommissionen (t.ex. genom att identifiera nya möjligheter och risker med politiska initiativ). Detta skedde genom att byrån bedömde nya möjligheter och risker avseende områden och initiativ som är relevanta för olika intressentgrupper. Byrån gav ut en heltäckande översiktsrapport om säkerhetshot i Europa och mer inriktade rapporter om konsumtionssynen på it, molnbaserade datortjänster och säker upphandling. Genom att analysera både möjligheter och risker kunde byrån dra slutsatser som visar på de avvägningar som institutioner och företag kommer att tvingas göra i en värld där verksamheten bedrivs i realtid. Politiska beslutsfattare och företagsledare kan med hjälp av denna metod till fullo utnyttja ny teknik och nya affärsmodeller och samtidigt behålla en hög säkerhetsnivå. Byrån har utnyttjat befintliga samarbetsöverenskommelser och stödpartner så mycket som möjligt för att nå målet för detta arbetsområde. Antal genomförda insatser: sju. Arbetsområde 2 (WS2): Förbättra skyddet av kritisk informationsinfrastruktur (CIIP) (2) och motståndskraften i hela Europa Arbetet inom detta område följde nära den handlingsplan för skydd av kritisk informationsinfrastruktur som beskrivs i kommissionens meddelanden från mars 2009 och mars 2011 och var en naturlig fortsättning på det arbete som utfördes inom arbetsprogrammen för 2010 och 2011. Insatserna stöttade direkt mål som fastställts i strategin för inre säkerhet i Europeiska unionen och i den digitala agendan. Huvudmålet för arbetsområde 2 var att hjälpa medlemsstaterna att införa säkra och motståndskraftiga IKT-system och höja nivån på skyddet av kritisk informationsinfrastruktur och tjänster i Europa. Byråns insatser gällde bland annat följande:
Av dessa insatser är åtgärderna för it-säkerhet på alleuropeisk nivå av särskilt intresse. Den andra insatsen av denna typ genomfördes den 4 oktober 2012 och 339 organisationer från hela EU deltog. Antal genomförda insatser: tretton. Arbetsområde 3 (WS3): Stöd till Cert (organisation för incidenthantering) och andra operativa organisationer De arbetspaket som beskrivs under denna rubrik är också nära kopplad till CIIP-handlingsplanen som beskrivs i kommissionens meddelande från mars 2009, även om verksamheten inom detta arbetsområde är nära kopplade till stödet till och utvecklingen av Cert-nätverket. När det gäller incidenthanteringsorganisationen Cert är byråns mål att stödja EU-medlemsstaterna och se till att deras respektive nationella/statliga incidenthanteringsorganisationer fungerar som nyckelaktörer i de nationella organisationerna för beredskap, informationsdelning, hållbar samordning och respons. Detta sker genom att byrån tillsammans de berörda aktörerna identifierar baskrav för nationella/statliga incidenthanteringsorganisationer och ger dem vad som krävs för att baskraven ska uppfyllas. Målen för detta arbetsområde är följande:
Som en del av arbetet inom detta arbetsområde undersökte byrån hinder i form av lagstiftning och förfaranden som incidenthanteringsorganisationer från Europa stöter på när de ska samarbeta och utbyta information med sina motparter från tredjeländer och gav rekommendationer om hur samarbetet kan förbättras. Antal genomförda insatser: tio. Arbetsområde 4 (WS4): Säkra den digitala ekonomin Inom detta arbetsområde försöker byrån identifiera åtgärder som ska göra det möjligt för EU att korrekt införa och sprida nya driftskompatibla tjänster samtidigt som individens grundläggande rättigheter respekteras och säkra och tillförlitliga lösningar används. Organisationer i offentlig och privat sektor kunde använda detta arbete för att förbättra sitt säkerhetsarbete och samtidigt utarbeta solida förfaranden för hantering av personuppgifter som följer den nya föreslagna lagstiftningen om skydd av personuppgifter. Inom detta arbetsområde gavs även stöd till den europeiska månaden för nätverks- och informationssäkerhet för alla. Antal genomförda insatser: åtta. |
||||||||||||||||||||||||||||||
Källa: Uppgifter från byrån. |
WS:
Work stream.CIIP:
Critical Information Infrastructure Protection.Källa: Uppgifter från byrån.
BYRÅNS SVAR
11. |
Enisa satte i gång inventeringen i slutet av april 2013, både vid kontoret i Heraklion och kontoret i Aten. Det här är den första inventeringen som Enisa gör, och den sker med hjälp av det särskilda elektroniska verktyget ABAC Assets med dess olika funktioner (märkning, skanning, uppladdning av skannade objekt, framtagning av rapporter m.m.). Räkenskapsföraren kommer att behandla resultaten av inventeringen, och de slutliga posterna i bokföringen för skillnaderna mellan räkenskaperna och den fysiska inventeringen kommer att vara införda till den 31 juli 2013. Byrån kommer att genomföra och dokumentera inventeringen på årsbasis för att se till att tillgångarnas värde tas upp korrekt i årsredovisningen. |