Tzw. audyt informatyczny to dość złożona usługa, której efekty są czasami trudne do zmierzenia. To skłania zamawiających do odmowy zapłaty za wykonaną pracę lub żądania obniżenia wynagrodzenia. Jak się przed tym bronić i jak prawidłowo określić swoje wynagrodzenia za audyt?
Charakter umowy o audyt
Tzw. audyt informatyczny obejmuje najczęściej:
- przeprowadzenie analizy bezpieczeństwa informacji, tj. sprawdzenie systemu oraz wskazanie podatności i zagrożeń;
- ocena aktualnego poziomu bezpieczeństwa;
- dostarczenie wniosków, zaleceń i rekomendacji.
Oczywiście audyt może dotyczyć nie tylko kwestii bezpieczeństwa ale i używanych licencji, wykorzystywania zasobów sprzętowych i software’owych czy metodologii. Niezależnie jednak od przedmiotu audytu wspólną cechą takich umów jest to, że niemal zawsze są one formułowane jako umowy o świadczenie usług, tj. umowy starannego działania. W takich przypadkach wynagrodzenie należy się wykonawcy za sam wykonania audytu, niezależnie od jego rezultatów.
FooBar sp. z o.o. podjęła się wykonania audytu na rzecz Telemetryki Łódź S.A. W umowie zastrzeżono, że usługa polega na przetestowaniu sprzedażowego systemu informatycznego zamawiającego i wskazanie jego podatności na zagrożenia bezpieczeństwa. W wyniku audytu stwierdzono jedynie pomniejsze błędy bezpieczeństwa. Z tego powodu Telemetryka zapłaciła jedynie 15% kwoty na którą została wystawiona faktura.
W sądzie przedstawiciel audytora przekonywał, że audyt polegał na starannym przetestowaniu systemu a nie na znalezieniu określonej liczby błędów. Sąd przyznał rację FooBar sp. z o.o. i zasądził na jej rzecz pozostałą część wynagrodzenia.
Kiedy można domagać się całego wynagrodzenia
Z powyższego przykładu wynika, że podstawowym warunkiem zapłaty całości wynagrodzenia jest staranne wykonanie przedmiotu umowy. Ten, w przypadku umów audytowych, jest określany różnie ale zazwyczaj oznacza konieczność:
- przeprowadzenia wszystkich określonych w umowie czynności;
- właściwego dokumentowania podejmowanych działań;
- rzetelnej i wyczerpującej analizy zgromadzonego materiału i wyciągnięcia syntetycznych wniosków, często w postaci osobnego dokumentu (raportu);
- sformułowania zaleceń na przyszłość i ewentualnie zaplanowania dalszych, okresowych audytów.
Oczywiście oprócz powyższego, koniecznie jest należyte wykonanie także i innych obowiązków umownych, takich jak np. zachowanie poufności, niepodejmowanie zleceń audytowych u konkurencji czy przestrzeganie założonego harmonogramu.
Kiedy i w jaki sposób zamawiający może zapłacić mniejsze wynagrodzenie
W przypadku niedokonania którejś ze wskazanych czynności w prawidłowy sposób dochodzi do nienależytego wykonania umowy. W takiej sytuacji zamawiający ma prawo pomniejszyć wynagrodzenie przysługujące wykonawcy o wartość tych nieprawidłowości, w szczególności o koszt usunięcia wad np. przez firmę trzecią.
Niewykluczone także, że za dane naruszenie umowy zamawiającemu przysługuje kara umowna, określona np. jako 0,05% całkowitego wynagrodzenia brutto za każdy dzień opóźnienia w przeprowadzeniu pentestów. Wykonawca powinien wówczas pamiętać o tym, że zamawiający nie może sobie potrącić jednostronnie takiej kary umownej z wynagrodzeniem, chyba że co innego wynika z umowy.
W umowie z zamawiającym wykonawca zobowiązał się do wykonania audytu szeregu serwerów uniksowych i zgodził się zapłacić karę umowną w kwocie 1500 zł za każdy niewykonany audyt (tj. za każdy serwer). Audyt został wykonany z wyj. dwóch serwerów i zamawiający zapłacił zamiast umówionego wynagrodzenia 19000 złotych jedynie kwotę 16000 złotych, argumentując iż naliczył dwukrotnie karę umowną w kwocie 1500 zł za każdy serwer. Zdaniem wykonawcy zamawiający powinien mu zapłacić całe wynagrodzenie w umówionym terminie i osobno zażądać zapłaty 3000 złotych. Wówczas zamawiający prawidłowo wskazał jako podstawę swojego potrącenia odpowiedni zapis w umowie („Strony uzgadniają, że w razie naliczenia przez Zamawiającego kar umownych, Zamawiający potrąci z wynagrodzenia kwotę stanowiącą równowartość tych kar i tak pomniejszone wynagrodzenie wypłaci Wykonawcy”.
Jak zapisywać formułę wynagrodzenia w umowie o audyt
Najpierw należy zacząć od podstawowego stwierdzenia, że „Strony uzgadniają, że za zrealizowanie zamówienia Wykonawca otrzyma wynagrodzenie w kwocie […] złotych brutto (słownie […] złotych […]/100)”. Pamiętajmy, że „zrealizowanie zamówienia” to przedmiot umowy, który jest określony w jej wcześniejszej części. I to od określenia przedmiotu umowy zależy zakres obowiązków wykonawcy a w konsekwencji – ocena czy wykonał on należycie całość prac i należy mu się całość wynagrodzenia.
Jeżeli w wyniku audytu ma powstać jakiś utwór (np. raport powykonawczy, analiza bezpieczeństwa, zalecenia powdrożeniowe itp.) to w umowie należy zapisać jakie wynagrodzenie przysługuje za przeniesienie majątkowych praw autorskich do tych utworów. Na przykład tak: „Wynagrodzenie za przeniesienie majątkowych praw autorskich do utworów powstałych w wyniku jej wykonania wynosi […] złotych brutto (słownie […] złotych […]/100) i mieści się w kwocie wynagrodzenia za zrealizowanie całego zamówienia”. Takie postanowienie jest korzystne dla zamawiającego podatkowo bowiem oznacza, że nie otrzymuje on majątkowych praw autorskich „za darmo” a więc że nie jest to darowizna. Samo przeniesienie praw autorskich wymaga oczywiście szerszego uregulowania w umowie.
Ponadto należy „standardowo” określić numer rachunku bankowego, termin zapłaty faktury, co stanowi podstawę do wystawienia faktury (najczęściej protokół odbioru), jaki dzień stanowi dzień zapłaty (dla wykonawcy korzystnym rozwiązaniem jest określenie go jako dzień zaksięgowania środków na jego rachunku) oraz prawo żądania odsetek (najczęściej i tak jedynie ustawowych).
Wstrzymanie wynagrodzenia, płatności częściowe
Wykonawca powinien zwrócić uwagę przede wszystkim na możliwość wstrzymania płatności wynagrodzenia. Okoliczności upoważniające zamawiającego do wstrzymania płatności powinny być wyliczone wyczerpująco (a nie np. „w szczególności”), określone jednoznacznie i w sposób zrozumiały dla stron. Wstrzymanie wynagrodzenia powinno dotyczyć tylko części wynagrodzenia odpowiadającej zakresowi niewykonanych lub nienależycie wykonanych prac. Ponadto wstrzymanie płatności jest już w wielu przypadkach wystarczającym sposobem nacisku na wykonawcę i należy się upewnić, że nie jest połączone np. z zapłatą kary umownej.
Warto wreszcie w umowie zastrzec płatności okresowe. Audyt potrafi niejednokrotnie trwać przez długi okres czasu oraz angażować znaczne zasoby (zwłaszcza osobowe). Dlatego też rozsądnie jest rozłożyć prace w harmonogramie na kilka etapów i zastrzec odbieranie prac przez zamawiającego etapami. Po każdym z nich następowałaby zapłata stosownej części wynagrodzenia, na podstawie podpisanego przez obie strony i bez zastrzeżeń częściowego protokołu odbioru. Dobrze byłoby także aby w razie zastrzeżeń zamawiającego co do sposobu wykonania umowy wykonawca miał zagwarantowany, dodatkowy termin na usunięcie wad. Dopiero niedotrzymanie tego dodatkowego terminu powinno skutkować naliczeniem kar umownych za niewykonanie zobowiązania w terminie.