სახელმწიფო აუდიტის სამსახურმა შეისწავლა სახელმწიფო პენსიის ადმინისტრირების ინფორმაციული სისტემა და მასთან დაკავშირებული კონტროლები. კერძოდ, აუდიტის პროცესში შეფასდა ინფორმაციული სისტემისა და პენსიის ადმინისტრირების პროცესის პროდუქტიულობა, ასევე პენსიის ადმინისტრირების პროცესში გამოყენებული მონაცემების უსაფრთხოება და პერსონალური ინფორმაციის დამუშავების პრაქტიკა.
აუდიტის ობიექტებს წარმოადგენენ სსიპ − სოციალური მომსახურების სააგენტო (შემდგომ − სააგენტო) და საქართველოს ოკუპირებული ტერიტორიებიდან დევნილთა, შრომის, ჯანმრთელობისა და სოციალური დაცვის სამინისტრო (შემდგომ − სამინისტრო).
აუდიტის შედეგად გამოვლინდა შემდეგი მიგნებები:
სახელმწიფო პენსიის ადმინისტრირების ინფორმაციული სისტემა („პენსია 2005“) მოძველებულია და ვერ უზრუნველყოფს სააგენტოს სხვა სისტემებთან ინტეგრაციას. სისტემა არ არის ცენტრალიზებული, რაც გულისხმობს, რომ იგი დამოუკიდებლად არის დაინსტალირებული ყველა სამუშაო სადგურზე (პერსონალურ კომპიუტერზე) და ერთმანეთს არ უკავშირდება. სხვადასხვა მომხმარებლის მიერ დამუშავებული მონაცემების ცენტრალიზება ხდება ხელით და საჭიროებს რამდენიმე ნაბიჯს. აღნიშნული მოიცავს როგორც ბაზების გაერთიანებას, ასევე ინფორმაციის გადამოწმებას (ვალიდაციას). შესაბამისად, დეცენტრალიზებული არქიტექტურის გათვალისწინებით, სახელმწიფო პენსიის ადმინისტრირების ბიზნესპროცესი არ არის პროდუქტიული და საჭიროებს ინტენსიურ ხელით შესრულებულ პროცესებს, რაც, თავის მხრივ, ზრდის მონაცემთა დამუშავების სიზუსტისა და სანდოობის რისკებს. ზემოაღნიშნული გამოწვეულია სააგენტოს არაერთგვაროვანი მიდგომით ინფორმაციული სისტემების განვითარების მიმართ. კერძოდ, სააგენტოს სისტემების კომპლექსურობისა და კრიტიკულობის გათვალისწინებით, სააგენტოს არ გააჩნია სტანდარტიზებული მიდგომა ინფორმაციულ სისტემებთან დაკავშირებით. სააგენტოს მფლობელობაში მყოფი ორი მსხვილი სისტემა − სახელმწიფო პენსიის ადმინისტრირების სისტემა („პენსია 2005“) და საარსებო შემწეობის ადმინისტრირების სისტემა (SAESA) მნიშვნელოვნად განსხვავებული შესაძლებლობებისაა. „პენსია 2005“ მნიშვნელოვნად ჩამორჩება სააგენტოს მიერ ადმინისტრირებულ მეორე სისტემას − SAESA-ს, ავტომატიზაციისა და უსაფრთხოების ხარისხით;
სააგენტო ვერ უზრუნველყოფს ინფორმაციული უსაფრთხოების საკანონმდებლო მოთხოვნების შესრულებას. აუდიტის პერიოდში სააგენტოს არ ჰქონდა შესრულებული „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მოთხოვნები;
სახელმწიფო პენსიის ადმინისტრირების სისტემის მოძველებული პლატფორმის გათვალისწინებით, სააგენტოს არ აქვს შეფასებული სისტემის უწყვეტობასთან დაკავშირებული რისკები და დანერგილი შესაბამისი კონტროლის მექანიზმები. აღნიშნული კონტროლები სააგენტოს საშუალებას მისცემდა წინასწარ განსაზღვრული გეგმის შესაბამისად ემოქმედა სისტემის ფუნქციონირების წყვეტის შემთხვევაში;
სახელმწიფო პენსიის მიმღებ უფლებამოსილ პირთა წრის განსაზღვრის პროცესში, სააგენტო ვერ უზრუნველყოფს სპეციალური პენიტენციური სამსახურიდან განსაკუთრებული კატეგორიის პერსონალური მონაცემების მიღებას დაცული საკომუნიკაციო არხის საშუალებით;
სააგენტო ვერ უზრუნველყოფს ქვეყნის მასშტაბით 69 რაიონულ ოფისში არსებული სამუშაო სადგურების უსაფრთხოების მინიმალურად დაცვას. კერძოდ, სამუშაო სადგურების მართვა ცენტრალურად არ ხორციელდება, რაც გულისხმობს მომხმარებლების უფლებების გაწერასა და მართვას, პაროლების პოლიტიკის გატარებას და ანგარიშების მართვას. ასევე, სამუშაო სადგურებზე დაყენებული მავნე კოდისგან დაცვის საშუალებების კონფიგურაცია არასათანადოა;
სააგენტო ვერ უზრუნველყოფს სახელმწიფო პენსიის ადმინისტრირების პროცესში გამოყენებულ მონაცემებზე ეფექტიან კონტროლს. ქვეყნის მასშტაბით არსებულ რაიონულ ოფისებში სააგენტოს თანამშრომლებს დაშვება აქვთ იმაზე მეტ ინფორმაციაზე, ვიდრე ეს საჭიროა მათი ფუნქცია-მოვალეობების შესასრულებლად. ასევე, სააგენტოს არ გააჩნია ტექნიკური კონტროლები, რომელთა საშუალებითაც მიიღწეოდა არასანქცირებული მოქმედებების აღმოჩენა და პრევენცია. შესაბამისად, პერსონალური და განსაკუთრებული კატეგორიის პერსონალური მონაცემები სათანადო ხარისხით არ არის დაცული.
