are-you-prepared-for-a-software-audit-blog

Jste připraveni na softwarový audit?

Podle agentury Gartner roste během několika posledních let počet softwarových auditů. Výrobci softwaru totiž využívají proces auditu jako zdroj příjmů i cestu, jak zastavit softwarové pirátství. Studie agentury zahrnují rovněž proaktivní doporučení pro ředitele a manažery IT, aby investovali do procesů a nástrojů na správu softwarového majetku. Jejich firmy tak mohou dodržovat shodu s podmínkami licenčních smluv.

Přidejme k tomu ještě doporučení zlepšit komunikaci a provozní spolupráci mezi odděleními IT a nákupu, jelikož je nezbytné, aby existoval proces pro sledování softwarového majetku od okamžiku jeho pořízení (finanční záznamy), až po jeho vyřazení. Je velmi důležité sledovat způsob pořízení licence softwaru (typ smlouvy), způsob, jakým je použita (instalace), právo přesouvat ji mezi různými zařízeními a finanční či právní dokumenty, které k ní náleží.

V nedávné době provedlo mnoho výrobců řadu změn ve svých licenčních modelech, když začali používat množství různých metrik (dle počtu procesorů či jader, NUP, PVU atd.), které jen zvýšily již beztak komplexní povahu licencování. Vzhledem k tomu, že se IT prostředí vyvíjejí vlivem virtualizace a cloud computingu, je po IT manažerech požadováno stále rozmanitější spektrum znalostí, z nichž většina nezahrnuje znalost licencování.

Časté změny v licenčních podmínkách, společně s chybějícími nástroji na správu a řízení softwaru, vystavují společnosti zásadnímu finančnímu riziku, že dojde k jejich auditu výrobci.

Běžná kritéria používaná pro výběr společností k auditu

Stejně jako meteorologové hledají změny v obvyklém průběhu počasí pro vytvoření týdenní předpovědi, vydavatelé softwaru hledají vzorce ve firemní historii, které potenciálně upozorňují na možnost auditu. Několik příkladů zahrnuje:

  • Fúze a akvizice
    Během fúzí a akvizic se přenos a konsolidace softwarových licencí mezi subjekty často provádí špatným způsobem, nebo vůbec. V tomto případě novému subjektu obvykle chybí dostatečný počet licencí pro zachování souladu s licenčními podmínkami nasazeného softwaru.
  • Výrobcem zjištěná korelace mezi vaší historií nákupů a oficiálními finančními výsledky vaší společnosti
    Zjištění implikují nesoulad mezi počtem licencí a ekonomickým růstem společnosti, vyjádřeným počtem zaměstnanců, čistým jměním atd.
  • Audity provedené jiným výrobcem
    Existují případy společností, které se na základě auditu jednoho výrobce softwaru staly cílem auditu i ze strany dalších výrobců.
  • Neobnovení licenčních smluv
    Tato kategorie zahrnuje společnosti, které neprojeví zájem o obnovení současné licenční smlouvy nebo přechod na jiný typ smlouvy.

Typy softwarových auditů

Tzv. „soft audit“ je nejjednodušším typem auditu. Během tohoto postupu musí auditované společnosti vytvořit soupis používaných licencí a zaslat tuto informaci výrobci. Tato informace bude následně ověřena proti historii nákupů, aby byl zjištěn soulad s licenčními podmínkami.
Tzv. „hard audit“ je složitější a nákladnější a je prováděn autorizovaným auditorem, který postupuje v nejlepším zájmu výrobce. Auditor je oprávněn prozkoumat licenční doklady, provádět technické prohlídky na místě a poskytnout výsledky zmíněného auditu výrobci softwaru.

Nejlepší ochranou při auditu je implementace nepřetržitě fungujícího řešení SAM, které je výsledkem spolupráce mezi partnerem a týmem starajícím se o techniku či licence na straně zákazníka a udrží ve vaší společnosti vždy aktuální soulad s licenčními podmínkami softwaru.

5 fází softwarového auditu

Pokud u vás má proběhnout tzv. hard audit, můžete očekávat, že projdete podobným postupem, jako je uvedeno níže:

  1. Úvodní schůzka
    V této úvodní fázi si zástupci auditora najatého výrobcem sjednají schůzku (obvykle formou konferenčního hovoru), aby odprezentovali jednotlivé kroky auditu a jejich časový harmonogram.
  2. Sběr dat
    Auditovaná společnost bude muset sesbírat sadu informací, týkajících se její IT infrastruktury, které je třeba předat auditorovi, jako například:
    • Hardwarová konfigurace zařízení;
    • Seznam aplikací instalovaných na zařízeních;
    • Přehled uživatelů, kteří mají přístup k těmto zařízením a souvisejícím aplikacím;
    • Doklady o licencích (dokumenty).
  3. Návštěva na místě
    V této fázi navštíví zástupci auditora auditovanou společnost, aby ověřili správnost poskytnutých informací, popřípadě aby získali další údaje.
  4. Návrh zprávy
    Na základě informací získaných během fází 2 a 3, připraví auditor návrh zprávy se srovnáním instalovaných licencí oproti pořízeným licencím. Tato zpráva bude zaslána auditované společnosti pro kontrolu možných chyb a nesrovnalostí.
  5. Trojstranné závěrečné jednání

V této závěrečné fázi bude svoláno virtuální setkání na místě, se všemi stranami zainteresovanými v procesu auditu. Auditoři odprezentují konečnou zprávu a zodpoví všechny dotazy, které se jí týkají. Po této závěrečné fázi ponechá auditor na výrobci a zákazníkovi, aby si mezi sebou vyjednali konečné obchodní či právní podmínky.

Máte-li pocit, že jste vystaveni možnému riziku auditu ze strany vydavatele softwaru, pak je nejlepší být proaktivní a pro zmírnění rizika investovat do nezávislého partnera. V opačném případě, jakmile obdržíte oznámení o auditu, může být následný proces celkem dlouhý, a dokonce může být finančně náročné jej dořešit.

Kontaktujte náš tým pro správu vašeho softwarového majetku.