Dyskusja nad wdrożeniem powinna prowadzić do transferu wiedzy na linii dostawca-klient. "Transfer wiedzy jest, szczególnie w tym przypadku, zjawiskiem bardzo istotnym i pozytywnym, bo daje duże prawdopodobieństwo osiągnięcia dojrzałości rynku w stosunkowo krótkim czasie" - mówi Agnieszka Beresińska. Dodaje, że przy określeniu docelowego rozwiązania znaczenie ma zarówno kultura korporacyjna, rodzaj prowadzonego biznesu, jak i umiejscowienie oraz organizacja bezpieczeństwa w danej firmie. "Z pewnością na zakres konkretnego projektu wpływ ma również to, jaka jest struktura organizacyjna oraz jaki jest obowiązujący lub oczekiwany program zapewnienia bezpieczeństwa - zwłaszcza w obszarze rozwoju oprogramowania jako krytycznego elementu zabezpieczenia organizacji" - mówi Agnieszka Beresińska.

Do wspomagania przedsiębiorstwa w zakresie zgodności z wymogami prawa i ładem korporacyjnym wykorzystywane są systemy klasy GRC (Governance, Risk & Compliance). Jednym z istotnych kryteriów wyboru takiego rozwiązania jest niezależność aplikacji GRC od aplikacji, których używanie będzie nadzorować. "Chodzi o to, aby w ramach procedur kontrolnych można było sprawdzać transakcje wykonywane w całym środowisku aplikacyjnym organizacji" - mówi Agnieszka Beresińska. Po drugie, istotna jest liczba predefiniowanych punktów rozdziału kompetencji SOD (Segregation Of Duties), opisujących typowe dla prawodawstwa oraz dobrych praktyk biznesowych sytuacje podlegające kontroli.

Warto rozważyć, czy system GRC ma być aktywny, czyli sprawdzający zgodność w momencie transakcji, a nie post factum, jedynie na bazie sprawozdań. Istotne będzie określenie nie tyle konkretnych funkcji docelowego systemu, ile problemów, jakie docelowy system ma rozwiązać, oraz korzyści biznesowych, jakie ma przynieść jego opracowanie. "Dobrze jest też, jeśli w organizacji jest dedykowany właściciel tematu - czyli osoba lub zespół odpowiedzialny za sprawną realizację celów organizacji w zakresie zarządzania ryzykiem i ładem korporacyjnym" - podsumowuje Agnieszka Beresińska.

<hr>

Dla COMPUTERWORLD komentuje Bartosz Tomaszewski, aplikant radcowski z kancelarii Baker & McKenzie

Jednym z istotnych elementów przygotowań do negocjacji umów wdrożeniowych, nierzadko determinującym powodzenie całej transakcji, jest wyodrębnienie co najmniej trzech grup negocjacyjnych: biznesowych (merytorycznych), finansowych (decyzyjnych) i prawnych. Praktyka uczy, że brak koordynacji i sprawnego współdziałania tych elementów w trakcie negocjacji często komplikuje rozmowy oraz niepotrzebnie wydłuża cały proces decyzyjny. Cóż bowiem z tego, że umowa będzie skonstruowana doskonale pod względem prawnym i merytorycznym, jeżeli w wynegocjowanym kształcie nie zyska zgody ciała zarządczego. Podobnie, gdy strony uzgodnią warunki finansowe transakcji, ale prawnik, który zostanie poproszony o ocenę umowy, wskaże na ryzyko wynikające z jej podpisania w tym kształcie.

Często się zdarza, że umowa wdrożenia systemu komputerowego zawiera postanowienia, które nakładają na integratora obowiązek zapewnienia zgodności wdrażanej aplikacji z przepisami prawa. Fundamentalne znaczenie mają w omawianej materii dwa elementy: z jakimi przepisami prawa ma być zgodna aplikacja oraz w jakim czasie oceniana jest zgodność aplikacji z porządkiem prawnym. Co do zasady, im ogólniejsza klauzula o zgodności systemu z wymogami prawa, tym gorzej dla integratora.

Jeżeli umowa ogranicza się do stwierdzenia, że aplikacja ma być zgodna z prawem, to można przyjąć, iż to na integratorze ciąży obowiązek monitoringu całego porządku prawnego - w tym często przepisów międzynarodowych, i to w całym okresie obowiązywania umowy - oraz uaktualniania systemu, jeżeli tylko zmiana prawa dotyczy danej aplikacji. Dlatego w interesie integratora jest, aby umowa wskazywała, z jakimi przepisami prawa ma być zgodny wdrażany system (np. jeżeli mamy do czynienia z systemem płacowo-kadrowym, to brane powinny być pod uwagę w szczególności przepisy odnoszące się do księgowości, prawa pracy, ubezpieczeń społecznych, rachunkowości) oraz na jaki czas owa zgodność jest oceniana (oddanie dokumentu, analiza biznesowa, wdrożenie pilotażowe systemu, wdrożenie masowe systemu).