Problematika outsourcingu informačního (a případně i komunikačního) systému je velmi komplexní a zahrnuje v sobě jak technické, tak manažerské disciplíny. Zároveň se jak z pohledu podniku, který o přechodu na outsourcing uvažuje, tak z pohledu outsourcera jedná o krok nesmírné závažnosti. Skutečné pochopení závazků, které tím na sebe obě strany berou, je klíčovým předpokladem pro dlouhodobý úspěch celé transakce.

Jedním z prvků, které mohou přispět k pochopení komplexnosti a významu informačního a komunikačního systému - a to na obou stranách - je provedení komplexního auditu celého informačního a komunikačního systému, všech jeho komponent, procesů a vazeb na okolní prostředí.

Tento krok, který se na první pohled může jevit jako obstrukce zpomalující proces přechodu na outsourcing, je významný především pro vzájemné bližší seznámení obou partnerů a jasné vymezení stavu, ve kterém se informační systém a podnik jako takový nacházejí ,a tím i pochopení reálných možností v oblasti očekávání obou partnerů.

Protože problematika informačního a komunikačního systému je velmi široká, při provádění tohoto komplexního auditu je vhodné rozdělit ji na dílčí oblasti respektující jednotlivé technologické a funkční celky, přičemž je ovšem klíčové zachování řezů a pohledů na systém, zajišťujících soudržnost zjištěných informací a složení celkového obrazu informačního systému na konci auditu. Klíčové pohledy na informační systém při realizaci auditu tvoří jednak technická infrastruktura informačního systému, dále funkčnost informačního systému a podpora primárních procesů podniku a nakonec technika řízení a soulad s kontextem řízení podniku

Technické komponenty IS
Mezi technologické celky, které jsou obvykle zkoumány zejména z pohledu inventarizace stávajícího vybavení a následného zhodnocení jeho dostatečnosti vzhledem k úlohám a rozsahu služeb poskytovaných informačním systémem, patří především hardware serverů a koncových zařízení, aplikační software, datové komunikace a telekomunikace.

Automatizované nástroje inventarizace HW a SW
Velkou část technických komponent informačního systému je možné v rámci auditu zmapovat s využitím automatizovaných nástrojů. Počítače, jejich standardní periferie a instalovaný aplikační software je možné inventarizovat (a následně sledovat v reálném provozu) prostřednictvím auditních aplikací.

Tyto nástroje jsou schopné shromáždit základní identifikační informace o hardware, detailně prozkoumat jeho hardwarovou konfiguraci a zjistit informace o instalovaném software. Pokud je takováto aplikace využívána dlouhodobě, je možné rovněž sledovat a vyhodnocovat změny v konfiguraci, nově nainstalované aplikace a další úpravy jednotlivých komponent informačního systému.

Výběr a využití takového nástroje by měly odpovídat jak podnikovým směrnicím, tak i obecným předpisům (například ve státní správě jde o požadavky vládního nařízení číslo 624 o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů) a v neposlední řadě i poskytovat veškeré informace potřebné z pohledu přechodu na outsourcing.

Mapování komunikační infrastruktury
V oblasti datových sítí pak rovněž existují specializované nástroje sloužící k analýze síťového prostředí, zatížení jednotlivých komunikačních uzlů a dalších podstatných informací. Tyto aplikace mohou být v podniku využívány standardně pro potřeby správy a řízení datových komunikací, případně existují specializované nástroje určené přímo pro audit komunikační infrastruktury.

ERP - klíčový prvek informačního systému
Samostatnou, velmi významnou kapitolu tvoří poznatky o podnikovém informačním systému (ERP), který je jádrem celého informačního systému podniku a jehož funkčnost či nefunkčnost má ve svém důsledku největší dopad na jeho celkové hospodaření.

V této oblasti je možné k auditu přistoupit z několika pohledů, které se navzájem překrývají. Prvním - zásadním - pohledem je dostatečnost aplikačního řešení z hlediska poskytovaných funkcí a odpovídající podpory jednotlivým podnikovým procesům. Zde nastává přechod od prostého technického hodnocení spíše k přístupu konzultačnímu, zjišťování se většinou děje formou rozhovorů s klíčovými uživateli.

Druhou oblastí, kterou je třeba prozkoumat, je dostatečnost technického zázemí. Tato oblast úzce souvisí s inventarizací a analýzou popsaných v předchozích odstavcích, nicméně zejména v oblasti serverů je vhodné provádět analýzu výkonu a zabezpečení z pohledu podnikového systému odděleně.

Řízení informačního systému a jeho služeb
Z pohledu manažerského (a to jak ve smyslu řízení informatiky, tak řízení celého podniku a využívání služeb informačního systému pro řízení podniku) jednotlivé technologické komponenty informačního systému, kterými se zabývaly předchozí odstavce, představují pouze "nutné zlo" - základ, ze kterého vyrůstá skutečná hodnota informačního systému, a tím je poskytování informací a informačních služeb jednotlivým částem podniku zajišťujícím vlastní předmět jeho podnikání.

Na oblast řízení informatiky a především na její integraci do podnikového kontextu se zaměřuje poslední část šetření prováděných v rámci auditu. Formou osobních pohovorů s klíčovými představiteli podniku jsou zjišťovány principy získávání a využívání informačních služeb jednotlivými útvary podniku, metody řízení rozvoje informačního systému, jeho slaďování s podnikovou strategií a způsob, jakým je zajištěna jeho podpora při dosahování podnikových cílů.

Klíčové oblasti, které jsou v rámci této části auditu sledovány, jsou zejména:
. Informační služby využívané jednotlivými útvary podniku, interní SLA a metriky těchto služeb

. Organizační otázky spojené s informačním systémem (přístup vedení podniku k IS, zastoupení oddělení informatiky ve vedoucích orgánech podniku, platforma pro řízení požadavků na IS, atp.)

. Strategie podniku, obchodní a rozvojové plány a jejich dopad na požadavky na informační systém

. Krizové řízení podniku, backup a disaster plannig/recovery

. Existující outsourcingové vztahy, situace vztahů k současným dodavatelům

. Systém kontroly výskytu chyb, náklady na chyby, pojištění proti ztrátám, penalizace třetích stran

. Mechanismy hodnotící podmínky IS a soulad s požadavky práva, hodnocení IS v rámci auditu, interní kontrola a audity informačního systému

. Změnové řízení v klíčových procesech podporovaných informačním systémem

V závěru auditu - při zpracovávání závěrečné auditní zprávy - jsou pak jednotlivé technologické celky i informace z manažerské roviny sestaveny zpět, aby vytvořily celkový obraz informačního systému, jeho provozních a rozvojových potřeb a možností.

Komplexní pojetí auditu informačního systému především jako snahy o pochopení informačních potřeb podniku a technických možností jejich naplnění je základem pro další komunikaci obou partnerů a nalezení společné cesty k oboustranně uspokojivému outsourcingovému vztahu. Zároveň je audit příležitostí pro prověření technického stavu dílčích oblastí informačního systému a kvality systémové integrace v podniku.

Pozn. red.: Autor článku, Tomáš Bezouška, působí jako konsultant ve společnosti QRIS a.s.