Audit outsourcingu
Audit outsourcingu S postupující globalizací, rozvojem informačních technologií a tlakem na efektivnější a kvalitnější poskytování služeb v této oblasti se outsourcing stal nedílnou součástí řízení většiny českých firem. V několika posledních letech byl jeho význam dále posílen rozvojem jeho dalšího vývojového stupně – cloud computingu. Přes tyto skutečnosti přetrvává v řadě organizací názor, že outsourcing v oblasti IT je převážně záležitostí specialistů IT. Ve skutečnosti tomu tak zdaleka není, protože IT služby, které jsou předmětem outsourcingu, významně ovlivňují chod celé organizace, a to nejen jejích procesů, ale rovněž jejího ekonomického řízení, lidských zdrojů a vztahů k zákazníkům. Cílem tohoto příspěvku je seznámit čtenáře, především management podniků, s tím, jaké jsou možnosti řízení kvality outsourcingu v oblasti IT. Podle § 2 odst. 1 zákona č. 513/1991 Sb. (obchodní zákoník) se podnikáním rozumí „soustavná činnost prováděná samostatně podnikatelem vlastním jménem a na vlastní odpovědnost za účelem dosažení zisku“. Je však zřejmé, že s růstem podniku roste i objem a spektrum prováděných činností, zejména pak těch, které nesouvisí přímo s podnikáním. Takové činnosti podnikatele zbytečně zatěžují a nezřídka se rozhodne přenést odpovědnost za tyto činnosti na někoho jiného. V podstatě existují dva způsoby, jak takovou situaci řešit: buď se lze spolehnout na vlastní (interní) zdroje podniku,
Listopad 2012
strana 1
7/8.2
7/8.2
7/8.2
strana 2
Nástroje IT manažera
nebo oblast přenechat externímu subjektu. Obě varianty jsou v dnešní době zcela legitimní a závisí jen na rozhodnutí top-managementu firmy, pro kterou se rozhodne. V každém případě však top-management nese odpovědnost za toto rozhodnutí i za veškeré následky, které z takového rozhodnutí plynou. Proto je nutné si uvědomit výhody i nevýhody vytěsnění libovolné činnosti a také je nutné si předem stanovit druhy činností, které jsou k vytěsnění vhodné. Outsourcing je pojem americké obchodní angličtiny a je odvozen z termínu „outside resource using“. K tomuto pojmu neexistuje český ekvivalent. Většinou je pro pojem outsourcing používán opis „využívání externích služeb“. V tomto textu budeme používat původní slovo „outsourcing“.
definice outsourcingu
Definic outsourcingu existuje celá řada, v podstatě se ale liší pouze tím, zda se za outsourcing považuje jednorázově, nebo opakovaně poskytovaná externí služba. Jako příklady definicí jsou vybrány dvě, každá z jedné z nejznámějších procesně orientovaných praktik řízení IT: ITIL 3: Outsourcing je využívání externích dodavatelů služeb ke správě služeb IT. COBIT 4.1. Outsourcing IT služeb poskytuje zákazníkovi větší flexibilitu a úsporu nákladů tím, že přesouvá služby, infrastrukturu nebo zpracování aplikací na dodavatele. Pojmy vyskytující se v obou definicích jsou dále krátce vysvětleny.
Listopad 2012
Audit outsourcingu
Zákazník je strana, jež nakupuje IT služby od jiné organizace a která má současně zájem ujistit se nejčastěji formou auditu, že tato forma poskytování služby je kvalitní. Dodavatel (nebo také organizace třetí strany, outsourcer, poskytovatel služby, servisní organizace) je organizace, od které si zákazník kupuje IT služby, jež jsou pro něho hlavním předmětem podnikání. Služba IT (někdy se pro zdůraznění významu komunikačních služeb používá zkratka ICT) je služba poskytovaná jednomu nebo více zákazníkům. IT služba podporuje podnikové procesy zákazníka a je založena na využití informačních technologií. Je vytvářena za pomoci personálu, procesů a techniky a měla by být definována v dohodě o úrovni služeb (Service Level Agreement, zkratka SLA). Základními vlastnostmi služby je, že je výsledkem realizace IT procesů a musí mít měřitelné parametry, které jsou výchozí podmínkou pro definování úrovní její kvality. Tím se objektivizují obchodní a technologické podmínky dodávky IT služeb, které jsou předmětem smluv SLA. V dnešní době se pod vlivem různých korupčních afér můžeme setkat i s dalšími definicemi outsourcingu, které jsou výsledkem lidové tvořivosti a bohužel i zažité praxe: Outsourcing ve státních institucích představuje jednu z metod transferu peněz přijatých od daňových poplatníků k příbuzným.
Listopad 2012
strana 3
7/8.2
7/8.2
strana 4
Nástroje IT manažera
Tato definice současně naznačuje, že outsourcing v sobě kromě výhod, které jsou naznačeny v jedné ze shora uvedených definic, skrývá také mnoho rizik, o nichž by měl každý správný manažer vědět a měl by je mít pod kontrolou. Outsourcing tedy v sobě skrývá potenciál generování hodnot, ale současně je i zdrojem vážných rizik. Tabulka 1 uvádí příklady hodnot a rizik outsourcingu. Hybatelé hodnot outsourcingu Soustředění se na hlavní činnost podniku Přístup k možnostem a schopnostem na světové úrovni Úspora času Sdílení rizik Uvolnění zdrojů pro jiné účely
Hybatelé rizik outsourcingu Podcenění přípravných etap přechodu na outsourcing znemožní dosažení výhod při vlastní realizaci Nutnost změn byznys procesů na straně zákazníka (včetně odpovědností, aktivit, výstupů apod.) Snížení nebo úplná ztráta kontroly nad vytěsněnou službou/procesy Závislost na dodavateli a jeho podnikání Podle míry outsourcingu ztížení propojení byznys strategie se strategií IT Uvolnění kapitálových prostředků Nutnost změn a propojení kontrolních systémů zákazníka a dodavatele Snížení operativních nákladů Podcenění významu SLA a obtížnost její efektivní formulace a aktualizace Změna struktury nákladů (přesun Vznik dodatečných nákladů na monitoring poskytovaných služeb fixních nákladů na variabilní) (zamezení degradaci kvality služeb) Tabulka 1: Příklady hodnot a rizik outsourcingu
Přestože se uvedená rizika outsourcingu nepodařilo dosud v řadě organizací zvládnout, objevují se zde další nové formy poskytování služeb, které se označují i v češtině termínem cloud computing.
cloud computing
Cloud computing je nový způsob využívání zdrojů (zejména hardwaru, softwaru) v IT, vycházející z možnosti jejich sdílení mezi aplikacemi a odstranění přímé vazby aplikační logiky
Listopad 2012
Audit outsourcingu
strana 5
na fyzické komponenty (virtualizace). Jedná se v podstatě o další vývojový stupeň outsourcingu, který je umožněn rozvojem technologií a aplikací. Jinými slovy řečeno, cloud computing lze charakterizovat jako poskytování služeb nebo aplikací, které jsou uloženy na serverech nacházejících se v datových střediscích, k nimž existuje přístup přes internet. Uživatelé ke službám a k aplikacím přistupují obvykle prostřednictvím webového prohlížeče nebo prostřednictvím klienta příslušné aplikace. Výhodou cloudu je, že uživatelé neplatí za vlastní program, napříkladlicenční poplatky za software apod., ale jen za samotné využívání dané služby či aplikace. V současné době je nabídka aplikací již velmi široká. Najdeme v ní kancelářské aplikace, systémy pro distribuované výpočty, ale i operační systémy. Cloud computing má tyto základní vlastnosti: dematerializace: jedná se o to, aby pro soukromý subjekt nebo podnik bylo nastavení, umístění a údržba IT prostředků co nejméně viditelné; snadný přístup: pokud mají uživatelé přístup k internetu, mají zajištěn přístup ke svým údajům a aplikacím z kteréhokoliv místa a zařízení (počítače, tabletu, chytrého telefonu); dynamická škálovatelnost: poskytovatel v reálném čase přizpůsobuje poskytovanou počítačovou kapacitu potřebám uživatele. Uživatel tak může pokrýt své maximální zatížení, aniž by musel investovat do takových
Listopad 2012
vlastnosti cloud computingu
7/8.2
7/8.2
strana 6
Nástroje IT manažera
IT prostředků, které by během nižšího zatížení nevyužíval; společné využívání prostředků: poskytovatel může zajistit sdružování zdrojů tím, že umožní společné využívání IT prostředků mezi několika uživateli. Může tak dosáhnout většího a lepšího společného využívání v případě velkých počítačových firem čítajících několik tisíců počítačů; platba podle využití: uživatel platí pouze za skutečné využití IT prostředků s ohledem na vývoj svých potřeb počítačové kapacity. Smluvní podmínky jsou ještě často stanovovány ad hoc, avšak měly by být postupně sjednoceny. Z uvedených charakteristik cloud computingu je zřejmé, že pokud jsou problémy s klasickým outsourcingem, v případě tohoto modelu poskytování služeb se rizika násobí, protože se s informacemi, které jsou cílem poskytování IT služeb, zachází jako s každou jinou komoditou (voda, plyn, elektřina).
Listopad 2012
Audit outsourcingu
Hybatelé hodnot CC Velký počet potenciálních uživatelů: jednotlivci, podniky, veřejné služby atd. Společné využívání prostředků a IT nástrojů vedoucí k jejich optimálnímu využívání; Mobilita služeb zejména pro uživatele, kteří využívají přenosná zařízení a mohou mít neustálý přístup ke svým údajům Snadná, nastavitelná a transparentní integrace různých technických složek: internetu, řízení IT služeb, mobilních aplikací atd.; Rozložení nákladů během celého životního cyklu počítačových systémů bez vysokých počátečních investic Zaměření podniků na jejich hlavní aktivity bez ohledu na složitost počítačových systémů Příležitost k růstu prostřednictvím nových aktivit pro hlavní subjekty tohoto odvětví, systémové integrátory (SI) a tvůrce softwaru
strana 7
7/8.2
Hybatelé rizik CC Velké množství norem, jež mají vymezit podmínky a kontrolovat použití CC Neexistence evropského a identifikovatelného správního orgánu, který by vyžadoval plnění norem Nedostatečný odstup uživatelů, v první řadě soukromých subjektů, nezbytný k posouzení deklarovaného přínosu a zejména podstoupených rizik Vlastní nestálost internetu: výpadky v případě poruch, počítačové útoky atd.; nestabilita podmínek dodávky služeb Přetížení internetu: stagnace výkonu, velký růst objemu vyměňovaných dat (audio, video, nevyžádaná pošta), omezení systému adresování (IP) Přetížení serverů: jejich společné využívání a související nadměrné přetížení, jež může způsobit zpomalení služeb Přemístění údajů do jiné země a jejich zpracování v této zemi se samostatnými právními předpisy Externalizace údajů a jejich zpracování třetí stranou
Tabulka 2: Příklady hodnot a rizik cloud computingu (CC)
Vraťme se ale k outsourcingu. Zatím jsme o něm hovořili jako o celku, aniž bychom rozlišovali jeho různé modely. Postupem času se však začaly rozlišovat různé formy outsourcingu, a to podle různých hledisek. Hledisko rozsahu: předmětem jsou dílčí aplikační oblasti (elektronický obchod, účetnictví, logistika, personalistika) nebo celý IS; předmětem je pouze správa a provoz některých informačních technologií, nebo i celého IS; předmětem jsou pouze některé části životního cyklu, nebo celý životní cyklus IS/IT;
Listopad 2012
formy outsourcingu
7/8.2
strana 8
Nástroje IT manažera
předmětem je pouze aplikace v rámci dílčí oblasti, nebo i podnikatelský proces podporovaný touto aplikací. Pro odlišení jednotlivých možností se používá následující terminologie: ISP – Internet Service Provider – organizace poskytující služby spojené s internetem; ASP – Application Service Provider – software jako služba, například software pro personalistiku, CRM systémy atd.; BPO – Business Process Outsourcing – business proces jako služba, například přijímání zaměstnanců v personalistice, péče o zákazníky; BSP – Business Service Provider – službou je komplex softwaru a business procesu (ASP plus BPO). Hledisko vlastnictví hmotných a nehmotných aktiv: poskytovatel má prostory a zařízení zákazníka v pronájmu, licence vlastní zákazník, prostory a technické vybavení jsou prodány poskytovateli; poskytovatel vlastní vše, co je potřebné k provozu IS/IT, včetně licencí, předmětem jsou informace jako služba. Hledisko vazby mezi poskytovatelem a uživatelem služby: vnitřní outsourcing (inhouse outsourcing) – služby se poskytují v rámci jedné právnické osoby; závislý outsourcing (subordinate outsourcing) – služby poskytuje organizace, která je majetkově a právně propojená s uživatelem služeb; nezávislý outsourcing (independent outsourcing) – spolupráce mezi dvěma nezávislými partnery.
Listopad 2012
Audit outsourcingu
Hledisko lokace poskytovatele služeb: OnShoring – outsourcing poskytovaný firmou působící ve stejném státě jako společnost, která tuto službu využívá. V literatuře se také můžeme setkat se synonymy slova OnShoring v podobě domestic outsourcing nebo v delší variantě onshore outsourcing; NearShoring – outsourcování služeb z okolních států. Tedy na rozdíl od OnShoringu se zde již mohou vyskytnout lehké rozdíly v kultuře a mentalitě lidí, na druhou stranu lze lépe dosáhnout finančních úspor; OffShoring – partnerský poskytovatel služeb zajišťuje svoji činnost z velmi vzdálených oblastí od sídla firmy, pro kterou služby poskytuje. Nejtypičtějším případem je, že si firmy z vyspělých států světa (Spojené státy americké, Británie, Austrálie) své služby zajišťují například v asijských státech, jako je Indie. Primárním důvodem pro volbu těchto destinací je bezesporu jejich finanční (ne) náročnost. Samozřejmě, že v praxi se tyto různé formy outsourcingu vzájemně kombinují a v rámci jedné organizace může dojít k aplikaci různých modelů. Závěrem této kapitoly jsou uvedeny výsledky výzkumu v oblasti outsourcingu v České republice, který provádí exkluzivně pro IDG Czech společnost MARKENT, s. r. o. V rámci tohoto výzkumu, jehož prvotní fáze byla realizována na počátku roku 2008, byl podroben detailnímu zkoumání korporátní koncový trh – konkrétně organizace, které jsou institucionálními předplatiteli odborného časopisu Computerworld.
Listopad 2012
strana 9
7/8.2
7/8.2
strana 10
výsledky výzkumu outsourcingu v ČR
Nástroje IT manažera
Výsledky tohoto šetření ukazují, že podíl organizací, které využívají nějakou formu outsourcingu, představuje asi jednu čtvrtinu. Podrobnější analýza tohoto segmentu vede k závěrům, že k outsourcingu významně častěji inklinují organizace, které disponují největšími rozpočty vyčleněnými na rozvoj svého informačního systému: subjekty, jejichž IT rozpočet přesahuje padesát milionů korun za rok, totiž outsourcují přibližně v dvakrát větší míře než ostatní organizace. Rovněž platí, že mezi institucemi finančního sektoru využívá outsourcing přibližně třikrát větší podíl firem než v ostatních odvětvích. V neposlední řadě je patrné, že organizace se zahraniční majetkovou účastí outsourcují ve větší míře než české společnosti, a to jak podnikatelské organizace, tak i nepodnikatelské subjekty. Na druhou stranu přibližně dvě třetiny organizací outsourcing v současné době nevyužívají a ani o tom do budoucna neuvažují.
míra totálního outsourcingu
Z výsledků výzkumu dále vyplývá, že mezi organizacemi využívajícími outsourcing představuje totální outsourcing jen velmi nízké procento (4 %). Tato hodnota je přitom v dlouhodobém srovnávání téměř neměnná – v posledních několika letech nedošlo v tomto ohledu k žádnému viditelnému posunu.
outsourcing konkrétních činností
Naopak outsourcing konkrétních činností, procesů či oblastí je úspěšně praktikován v mnoha organizacích. Pokud jde o současnou situaci, je z výsledků výzkumu patrné, že téměř polovina z organizací, které outsourcing využívají, deleguje
Listopad 2012
Audit outsourcingu
na externí subjekt správu hardwaru. Podobně vysokého podílu dosahuje rovněž správa sítí a softwaru, které jsou svěřeny partnerům pro outsourcing přibližně ve dvou pětinách sledovaných organizací. Zjištění vypovídající o významně vyšším zastoupení správy hardwaru, sítí nebo softwaru dále dokládá údaj vyjadřující záměry organizací, které v současné době outsourcing nevyužívají, nicméně plánují, že během tohoto roku předají některé úlohy týkající se informačního systému do správy externímu poskytovateli. Ukazuje se totiž, že mezi sledovanými subjekty se v souvislosti s outsourcingem nejčastěji hovoří o některé ze tří již uvedených oblastí. Ze stejného šetření se rovněž můžeme dozvědět, jak to vypadá se spokojeností uživatelů s kvalitou poskytovaných služeb. Ze získaných údajů je v tomto ohledu patrné, že přibližně jedna organizace ze šesti je se svým partnerem pro outsourcing velmi spokojena. Největší část sledovaných subjektů, téměř 70 %, je s outsourcingem spíše spokojeno. Tyto hodnoty, jakkoliv se zdají pozitivní, tak staví outsourcing z hlediska zákaznické spokojenosti na jedno z posledních míst mezi ostatními IT službami. Přitom nejnižší míru spokojenosti vykazuje klíčový segment organizací, které věnují na svůj informační systém částku přesahující padesát milionů korun ročně. Dlouhodobě přitom spokojenost subjektů využívajících outsourcing klesá. Možnosti posuzování kvality outsourcingu Po krátkém úvodu, ve kterém jsme si stručně vysvětlili
Listopad 2012
strana 11
7/8.2
7/8.2
strana 12
Nástroje IT manažera
podstatu, druhy a rizika outsourcingu, se zamyslíme nad tím, jakým způsobem se může vedení podniků a další zájmové skupiny, jako například akcionáři, finanční instituce, stát nebo významní dodavatelé a odběratelé organizací, ujistit o tom, že je outsourcing v jejich organizaci nastaven v souladu s existujícími normami a že je efektivní. Nejčastější chybou totiž je, že manažeři organizací nemají dostatek času a znalostí, aby řídili projekty přechodu a provozování outsourcingu a dohlíželi na ně, a tudíž tyto činnosti delegují na specialisty IT. To je však ve zřejmém rozporu se skutečností, že delegování procesů a jejich výsledků – služeb na třetí stranu – nesnímá z manažerů právní odpovědnost za správnost a úplnost informací poskytovaných vně organizace, respektive za kontrolní systém, který to zaručuje. Jakýkoliv druh outsourcingu podle svého rozsahu přímo úměrně zasahuje do procesů a vnitřního kontrolního systému organizací. Specialisté IT nemají takovou pravomoc, aby tyto zásahy na úrovni byznys procesů realizovali, a současně necítí odpovědnost za kontrolní systém organizací jako celku. V této situaci mají manažeři organizací v podstatě jedinou možnost, a to využít specialistů – auditorů IS – kteří provedou nezávislé, objektivní, komplexní a formalizované posouzení stavu outsourcingu v organizaci a současně mohou poradit, jakým způsobem odstranit zjištěné nedostatky a snížit rizika. Tyto typy auditů, pokud jsou prováděny externími subjekty, mohou navíc vedení poskytnout informaci, na jaké úrovni zralosti se procesy outsourcingu
Listopad 2012
Audit outsourcingu
v dané organizaci nacházejí a co udělat pro to, aby se úroveň zlepšila, pokud je v porovnání s podobnými organizacemi nižší. V této části náš text navazuje na článek Audit informačního systému, který byl zveřejněn v příručce Nástroje manažera v roce 2011. V tomto článku byl uveden následující obrázek, který ukazuje základní prvky ujištění v oblasti IT. Pokud budeme aplikovat tento model na audit outsourcingu, potom je možné obrázek upřesnit. Uživatelem výstupů ujištění (stakeholderem) může být management organizace jak uživatele, tak poskytovatele. Odpovědnou stranou je například vedoucí IT, který odpovídá za kvalitu dodávaných IT služeb. V případě totálního outsourcingu mohou být odpovědnou stranou například vlastníci procesů, kteří využívají IT služeb a současně odpovídají za jejich kvalitu. Objektem ujištění jsou poskytované IT služby, které jsou výsledkem IT procesů realizovaných na straně poskytovatele služeb. Profesionálem provádějícím ujištění může být interní auditor poskytovatele služeb, interní auditor uživatele služeb nebo společný externí auditor, na kterém se obě strany dohodnou. Vhodná kritéria ujištění mohou mít různou míru závaznosti, nejdůležitější budou zákony relevantní pro outsourcing, dále například ISO normy, nejlepší praxe (například ITIL, COBIT), interní směrnice a politiky a samozřejmě také existující SLA. Závěrem ujištění je písemná auditorská zpráva, která
Listopad 2012
strana 13
7/8.2
7/8.2
strana 14
Nástroje IT manažera
obsahuje jednak povinné informace podle standardů ISACA o auditorských zprávách a dále volitelné informace podle rozsahu a hloubky provedeného ujištění/auditu. Proces ujištění představuje formalizovaný postup, který zahrnuje doporučené kroky a řídí se existujícími návody pro ujištění/audit outsourcingu.
Uživatel výstupů ujištění (stakeholder)
Business proces
řídí
spoléhá na
užívá
souhlasí
Odpovědná strana
Objekt ujištění
řídí
Závěr
Vhodná kritéria ujištění
souhlasí
porovnává s kritérii
souhlasí
Profesionál provádějící ujištění
užívá
Proces ujištění
výstupem je
Obrázek 1: Znázornění obecného procesu ujištění/auditu
Z uvedeného upřesnění modelu ujištění/auditu outsourcingu vyplývá několik specifik v porovnání s jinými typy auditu: Audit outsourcingu IT je specifický především tím, že auditor zkoumá nejenom samotný subjekt, ale i subjekty třetích stran a vazby mezi nimi. Vzájemné vztahy mezi stranami jsou většinou upraveny pomocí specifických kontraktů definujících kvalitu poskytovaných služeb – SLA. Pro audit outsourcingu jsou tyto dohody klíčové.
Listopad 2012
Audit outsourcingu
Průběh auditu se také bude odvíjet odlišně v závislosti na tom, zda bude prováděn interním, nebo externím auditorem. Aby firmy a organizace mohly vykonávat základní úkony managementu kvality, musejí mít nastaven kontrolní systém, který sleduje jednotlivé oblasti procesů a služeb. Pro auditora představuje tento systém jednu z hlavních oblastí zájmu. Součástí plánu auditu je vždy i prověření stávajícího kontrolního systému a předchozích nálezů, aby bylo možné posoudit dlouhodobé trendy v kvalitě služeb a procesů. Audit outsourcingu je specifický především tím, že by se auditor neměl omezit pouze na revizi kontrolního systému zákazníka, nýbrž by měl věnovat pozornost i kontrolnímu systému dodavatelů, případně subdodavatelů. Součástí této prověrky musí být také kontrola vazeb mezi jednotlivými kontrolními systémy, aby bylo zaručeno, že měří stejné oblasti a poskytují stejné výsledky. Rozdíly v nastavení kontrolních systémů mohou působit značné problémy. Obrázek 2 znázorňuje základní schéma organizace kontrolních systémů a vazeb mezi nimi, kterým je nutné věnovat pozornost v případě auditu outsourcingu.
Listopad 2012
strana 15
7/8.2
7/8.2
strana 16
Nástroje IT manažera
Obrázek 2: Obecný model organizace kontrolních systémů a vazeb mezi nimi
Zaměření auditu outsourcingu se však může lišit podle toho, v jaké fázi životního cyklu outsourcingu se provádí, a také podle toho, o jaký typ služeb IT, které jsou předmětem outsourcingu, se jedná. Jiný bude obsah a testy například auditu outsourcingu implementace ERP systému, vývoje softwarové aplikace nebo outsourcingu provozu aplikace. Pro každý audit outsourcingu mají tedy význam následující tři dimenze posuzování kvality (viz obrázek 3): 1. dimenze prvků ujištění/auditu, 2. dimenze etap životního cyklu outsourcingu, 3. dimenze druhu outsourcovaných služeb. V následujícím textu vyjdeme z tohoto obrázku a probereme obsah jednotlivých dimenzí.
Listopad 2012
Audit outsourcingu
strana 17
Dimenze prvků ujištění/auditu V rámci této dimenze se zaměříme na dva nejdůležitější prvky modelu ujištění, a sice vhodná kritéria hodnocení a výsledek hodnocení – auditorskou zprávu. Kritérií, která je možné použít pro posuzování kvality outsourcingu, je celá řada. Lze je rozdělit do několika skupin: kritéria obecně platná pro oblast řízení IT: zákony, ISO normy, nejlepší praxe. kritéria speciální, vytvořená pro procesy ujištění/auditu: dokumenty ISACA, dokumenty IAOP, jiné (např. SANS institut). Zákony patří mezi nejdůležitější kritéria auditu outsourcingu, protože pokud s nimi není organizace v souladu, vystavuje se tím různým formám postihu.
Listopad 2012
Kritéria auditu outsourcingu
7/8.2
7/8.2
strana 18
Nástroje IT manažera
Uživatel výstupů ujištění řídí (stakeholder)
Business proces
spoléhá na
užívá
souhlasí
Odpovědná strana
řídí
Závěr
Vhodná kritéria ujištění
souhlasí
Objekt ujištění
porovnává s kritérii
souhlasí
Profesionál provádějící ujištění
užívá
Proces ujištění
Etapy životního cyklu outsourcingu
Druh IT služby
výstupem je
Obrázek 3: Tři základní dimenze auditu outsourcingu
Podle [12] existují v ČR i ve všech ostatních zemích EU tradiční právní normy, které se dotýkají významným způsobem práva IT. Jsou to především: autorský zákon – zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů; zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů; telekomunikační zákon – zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů.
Listopad 2012
