NIK idzie do prokuratury. Uniwersytet Medyczny w Lublinie i 15 mln zł na system widmo

Najwyższa Izba Kontroli (NIK) opublikowała wyniki audytu przeprowadzonego w dwóch czołowych publicznych uczelniach w Lublinie: Uniwersytecie Medycznym oraz Politechnice Lubelskiej. Inspektorzy badali wydatki na systemy informatyczne z lat 2020–2025.

Jak podaje Najwyższa Izba Kontroli, na uczelniach wykryto nieprawidłowości, w tym systemy widma, które kosztowały miliony, a nigdy nie ruszyły, łamanie Prawa zamówień publicznych, bałagan w księgowości oraz fikcyjne odbiory techniczne.

Łączna kwota wydana z naruszeniem zasad należytego zarządzania finansami to aż 16,5 mln zł. Sprawą zajmuje się już prokuratura.

Najbardziej kosztowne nieprawidłowości kontrola wykryła na Uniwersytecie Medycznym w Lublinie. Chodzi o Zintegrowany System Informatyczny do zarządzania Uczelnią (ZSI). Choć we wrześniu 2024 roku podpisano odbiór końcowy i zapłacono wykonawcy 15,9 mln zł (z czego 12,1 mln zł stanowiły dotacje unijne z programu POWER), system do momentu zakończenia kontroli pod koniec 2025 roku w ogóle nie został uruchomiony.

Dlaczego zapłacono za niedziałający program? Jak podaje NIK, pod koniec 2023 roku uczelni groziła utrata dofinansowania z UE, jeśli nie rozliczy trzech kluczowych komponentów systemu. Prace były opóźnione z winy wykonawcy i samej uczelni, więc zdecydowano się na nielegalny krok. Dokonano istotnych zmian w umowie z naruszeniem Prawa zamówień publicznych, po czym fikcyjnie odebrano niedokończone moduły i przelano pieniądze wykonawcy.

Konsekwencje tego logistycznego chaosu okazały się dotkliwe. Uczelnia musiała:

• Prowadzić księgowość w starym programie,

• Dokupić asystę techniczną dla poprzedniego systemu,

• Pogodzić się z faktem, że zakupiony pod nowy system osprzęt leżał bezużyteczny,

• Prowadzić prace wdrożeniowe już w trakcie... trwania gwarancji.

To jednak nie wszystko. Przy drugim badanym systemie – przeznaczonym do zarządzania badaniami klinicznymi – Uniwersytet Medyczny dopuścił się opóźnień w przekazaniu serwerów wykonawcy. W efekcie skrócono okres opieki powdrożeniowej z 32 do 28 miesięcy (przy niezmienionej cenie 190 tys. zł) i ponownie zmieniono umowę z naruszeniem prawa. Ponadto na uczelni medycznej ujawniono "niezgodne z przepisami i niewystarczająco rzetelne zarządzanie uprawnieniami użytkownika w badanych systemach".

Równie niepokojące mechanizmy kontrolerzy NIK obnażyli na Politechnice Lubelskiej. Na celownik trafiła aplikacja mobilna mająca ułatwić poruszanie się po kampusie osobom z niepełnosprawnościami. Projekt pochłonął 571,9 tys. zł (w całości z funduszy UE), ale stworzone narzędzie okazało się bezużyteczne i niezgodne z ustawą o dostępności cyfrowej.

Aplikacja nie spełniała podstawowych kryteriów postrzegalności, funkcjonalności i zrozumiałości. Co więcej, nie działał w niej moduł wyświetlający plan zajęć, nie opublikowano wymaganej prawem deklaracji dostępności, a samego programu... nigdy nie wdrożono do sklepów internetowych (Google Play/App Store).

Politechnika zaliczyła także poważną wpadkę finansową. Kontrola wykazała nieprawidłowości w ewidencji księgowej praw majątkowych i licencji na kwotę 3,1 mln zł. Polegały one m.in. na wpisywaniu do ksiąg licencji, które wygasły lub nie były używane, zawyżaniu ich wartości, stosowaniu błędnych stawek amortyzacyjnych oraz opieraniu się na niezatwierdzonych dowodach księgowych. Władze uczelni nie potrafiły nawet udokumentować inwentaryzacji na koniec roku.

Wspólnym mianownikiem dla obu lubelskich placówek okazało się lekceważenie podstawowych zasad bezpieczeństwa informatycznego. W obu podmiotach stwierdzono "nieprawidłowości, dotyczące zarządzania systemem bezpieczeństwa informacji".

Wykryte błędy w obszarze IT obejmowały:

• Niezgodny z przepisami (zbyt krótki lub nieprawidłowy) okres przechowywania logów w dziennikach systemowych,

• Całkowity brak kontroli administratorów nad zasobami serwerowymi i maszynami wirtualnymi, które działały wewnątrz uczelnianej infrastruktury.

Najwyższa Izba Kontroli skierowała do rektorów obu uczelni łącznie 14 wniosków pokontrolnych – połowa została już wdrożona, reszta jest w realizacji. Kontrolerzy nakazali m.in. pilną weryfikację wniosków o płatność pod kątem tego, czy unijne środki zostały wydane legalnie. W przypadku Uniwersytetu Medycznego oznacza to konieczność przeanalizowania, czy uczelnia powinna żądać kar umownych i odszkodowań od niesolidnego wykonawcy.

Finał tej sprawy będzie miał jednak swój ciąg dalszy w sądzie. NIK złożyła do Prokuratury Okręgowej w Lublinie dwa oficjalne zawiadomienia o uzasadnionym podejrzeniu popełnienia przestępstwa. Chodzi o poświadczenie nieprawdy przez urzędników i pracowników obu uczelni, którzy bez mrugnięcia okiem podpisali protokoły odbioru systemów, które w rzeczywistości nie działały lub były wadliwe.