IT w gminie – jak zapewnić nowy standard audytu

Na podstawie Komunikatu nr 1 ministra finansów z 19 lutego 2009 r. w sprawie standardów audytu wewnętrznego w jednostkach sektora finansów publicznych, audyt wewnętrzny jednostek sektora finansów publicznych ma być prowadzony według Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego. Obowiązująca od 1 stycznia 2009 r. wersja Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego wprowadza obowiązek dokonywania oceny governance w zakresie technologii informacyjnych (IT Governance; standard 2110.A2). Jednostki samorządu terytorialnego zobowiązane są do prowadzenia audytu wewnętrznego, jeśli łączna kwota środków publicznych gromadzonych w ciągu roku kalendarzowego wynosi 40 mln zł.

IT Governance odnosi się do zarządzania organizacją w obszarze IT, dotyczy rozkładu odpowiedzialności za decyzje podejmowane w tym obszarze przez osoby zarządzające (w tym zarządu i dyrektorów średniego szczebla). Stosowanie dobrych zasad przy wdrażaniu i wykorzystywaniu IT w organizacji oraz skuteczny nadzór tych procesów są niezbędne, aby osiągnąć cel, jakim jest właściwe i efektywne pozyskiwanie dla firmy technologii i systemów informatycznych, gwarantujących należytą obsługę lub wsparcie objętych nimi procesów. Nieodłącznym elementem IT Governance powinna być jednoznaczna polityka nabywania infrastruktury i usług w zakresie IT oraz zdefiniowane zasady wdrażania technologii. Zasady IT Governance powinny zostać poparte wdrożeniem odpowiednich rozwiązań prawnych, wzmacniających dopasowanie organizacja–IT. Nie chodzi tylko o zapewnienie zgodności systemów z regulacjami czy legalności oprogramowania.

Wskazane jest zatem stosowanie odpowiednich wytycznych dotyczących procesu wyłaniania dostawców. Celowe jest ustalenie, czy podmiot zamierza nabywać prawa autorskie do oprogramowania powstałego na etapie wdrożenia, czy też wystarczające będzie pozyskanie licencji. Jeśli chodzi o samą treść umów, trzeba pamiętać, aby zawierały one odpowiednie klauzule zapewniające bezpieczeństwo nie tylko tego projektu, którego dotyczy, ale także innych projektów nabywcy (przykład: klauzule zobowiązujące dostawcę do współpracy z innymi dostawcami). W umowach outsourcingowych pokrywających kluczowe procesy biznesowe należy zadbać, aby znalazły się w nich szczegółowo określone reguły wyjścia, które zminimalizują ryzyko związane ze zmianą dostawcy.

Warto zastanowić się nad kompleksowym spojrzeniem na IT Governance, by trafne decyzje w odniesieniu do IT nie zostały osłabione przez niedostatki formalne i brak stosownych rozwiązań prawnych w zawieranych umowach.