Co můžete očekávat od softwarového auditu?

Březen 14, 2019
Leoš Procházka

Autor

Leoš Procházka

SAM Team Leader společnosti SoftwareONE Czech Republic

V uplynulých letech se zvýšil počet softwarových auditů, prováděných vydavateli softwaru. Jsou k tomu dva důvody, z nichž první je pokus bojovat se softwarovým pirátstvím. Druhým důvodem je, že pokuty udělené organizacím nedodržujícím licenční podmínky slouží dodavatelům softwaru jako další zdroj příjmů.

Nicméně, i společnosti s licencemi může audit ze strany dodavatele softwaru zastihnout nepřipravené. Pokud se to stane ve vaší firmě, nabízíme vám přehled, co byste měli vědět a očekávat od hrozícího procesu auditu.

Co je softwarový audit?

Softwarový audit je prováděn v případě, kdy se dodavatel softwaru domnívá, že společnost porušuje licenční podmínky. Audit je prováděn nezávislou, nestrannou společností, která posuzuje využití softwaru, počet licencí a smlouvy, aby zjistila, zda nedošlo k porušení licenčních podmínek, které vedlo k softwarovému pirátství (jak jej definuje BSA). To může představovat například: zakoupení jedné kopie software a její instalaci na více zařízeních, vytváření kopií softwaru nebo třeba používání virtualizace s nesprávným typem licencování. Pokud je zjištěno, že společnost porušuje své licenční smlouvy, může dodavatel softwaru vyměřit pokutu nebo podniknout jiné právní kroky.

Co můžete očekávat před softwarovým auditem?

Když společnost obdrží od dodavatele softwaru oznámení o provedení auditu, pravděpodobně bude obsahovat i podrobnosti o tom, jaký software bude auditován a časový interval, ve kterém je třeba na toto oznámení reagovat. Toto oznámení může změnit dlouhodobé plány a dohody o výdajích, protože dojde k přerozdělení zdrojů, aby bylo možné vypořádat se s procesem auditu, bez ohledu na to, zda k porušení licenčních podmínek opravdu došlo. Když budete vědět, co očekávat a jak se na audit připravit, pomůže vám to projít tímto procesem tak hladce, jak je to jen možné.

Můžete zjistit, zdali vám hrozí riziko auditu, když si projdete naše posouzení vyspělosti vašeho SAM během 10 minut. Naše vyhodnocení během 10 minut odhalí prvky vašeho životního cyklu softwaru, které pro vás představují riziko auditu.

Mezi tím, v rámci příprav na začátek auditu, je několik věcí, které můžete udělat:

Spolupracujte s dodavatelem

Dodavatel softwaru pravděpodobně nezapomene, že vám poslal oznámení o auditu, takže je jednoduše nejlepší s ním spolupracovat a komunikovat. Rozhodně přezkoumejte harmonogram auditu a sdělte dodavateli váš plán kroků. Tím zajistíte, že budete mít nad procesem určitou kontrolu a zároveň budete prosazovat proaktivitu vaší společnosti. Rovněž s vaším právním týmem projděte pravidla sdílení dat, a při tomto prošetřování buďte k dodavateli otevření. Pokud je načasování pro vaši společnost opravdu nevhodné, například kvůli zastavení změn nebo důležitým sezónním aktivitám ve vašem odvětví, požádejte dodavatele o prodloužení termínu. Komunikace je klíčová a měla by probíhat z jediného kontaktního místa ve vaší organizaci. Pokud je to možné, měla by se s tímto dodavatelem ukončit jakákoli jiná komunikace.

Sestavte pracovní skupinu

Vytvořte si vaši vlastní pracovní skupinu, složenou z nejdůležitějších zainteresovaných osob ve vaší společnosti. Tito jedinci by měli být z IT, právního oddělení a oddělení nákupu a budu potřebovat výkonné vedení. Uspořádejte schůzku vaší pracovní skupiny, kde se stanoví strategie pro proces auditu, jako jsou časové lhůty nebo role a zodpovědnosti. To vám později ušetří čas a zdroje.

Ať vaše právní oddělení vyhodnotí všechny relevantní informace, jako:

Současné smlouvy či dohody se softwarovou společností, včetně:

  • End User License Agreement (EULA).
  • Co je dokladem licence?
  • Jasné definice práv k užívání licence.
  • Jsou povoleny kopie softwaru? (jako záloha nebo pro obnovu po havárii)
  • Existuje právo na domácí použití?
  • Je nutné licencovat testovací prostředí?
  • Jaké jsou následky nedostatečného licencování?
  • Za jakých okolností (pokud nějaké takové jsou) bude organizace odpovědná za náklady na provedení auditu?

Podmínky auditu:

  • Vyžaduje organizace, aby auditor podepsal dohodu o důvěrnosti?
  • Jsou auditoři oprávnění cokoli z organizace odstranit?
  • Bude auditovaný software možné dále používat, i když bude zjištěno nedodržování licenčních podmínek organizací?

Co můžete očekávat během softwarového auditu?

Pokud vaše organizace ještě nikdy nebyla auditována, bude pro vás tento proces asi neznámý. Když obdržíte oznámení o auditu, můžete typicky očekávat následující:

  • Schůzka ohledně vysvětlení fází auditu – externí auditoři od dodavatele softwaru se setkají s vaší společností, aby s vámi diskutovali a vysvětlili vám každou z fází auditu.
  • Sběr dat – auditoři shromáždí data související s jejich auditem, jako je například počet softwarových licencí, seznam aplikací instalovaných v zařízení, nebo přehled uživatelů, kteří mají přístup k softwaru a doklady k licencím.
  • Přehled závěrů – auditoři sestaví zprávu, vysvětlující jejich zjištění, a naplánují schůzku s vaší společností, na které se budou řešit případné problémy. Po schůzce předají auditoři vám a dodavateli svoje závěry a nechají na dodavateli, aby se rozhodl, jak bude pokračovat dál.

Mnoho společností si také najímá outsourcované softwarové auditory, aby provedli interní audit jejich majetku a odhalili jakákoli právní, provozní nebo bezpečnostní rizika spojená s jejich používáním softwaru.

Zvažte také:

Akce IT oddělení:

  • Informujte právní oddělení o časovém rámci pro odpovídající testování.
  • Otestujte nástroj či skript.
  • Upozorněte management na možná rizika.
  • Právní oddělení připraví odpověď auditorovi:
  • Informujte auditora o čase, požadovaném na otestování jejich nástroje či skriptu.
  • Připravte smlouvu o následných škodách, pokud nástroj nebo skript ovlivní produkční prostředí organizace.
  • Vyžádejte si dohody o důvěrnosti a vrácení veškeré dokumentace vaší organizaci.

Co můžete udělat po softwarovém auditu?

Pokud bude zjištěno, že vše společnost nedodržuje podmínky vaší smlouvy na software, pravděpodobně začnete s dodavatelem vyjednávat o tom, kolik mu zaplatíte na poplatcích nebo pokutách. Mnoho dodavatelů softwaru bude chtít s vaší organizací spolupracovat na sestavení realistického finančního plánu. Jelikož se většina dodavatelů softwaru soustředí na spotřebu cloudových služeb, může to znamenat příležitost k vyjednání konečného výstupu na základě typů nakoupených licencí.

Je důležité poznamenat, že kvůli značné složitosti licencování často nebude závěr auditorů 100% přesný. Proto vždy doporučujeme, abyste nechali výsledky zhodnotit expertem na licencování softwaru.

Ze zkušeností SoftwareONE s některými dodavateli se nám daří dosahovat v průměru více než 60% snížení z prvotních zjištění. Doporučujeme vám provést váš vlastní interní audit a porovnat tyto dvě sady dat, abyste měli podklad ke všem vyjednáváním nebo získali možnost zmírnit první hrubé výsledky, poskytnuté auditory.

Jak se můžete chránit před budoucím softwarovým auditem?

Abyste se vyhnuli zjištění porušování licenčních podmínek a pokutám při budoucích auditech, potřebujete sledovat váš softwarový majetek prostřednictvím implementace plánu správy softwarového majetku. Tento plán vám pomůže spravovat licence a řídit využívání softwaru, abyste dodržovali licenční podmínky.

Program správy softwarového majetku vám:

  • Pomůže řídit náklady na nákup softwaru a konsolidovat software, který dělá stejnou věc.
  • Řídit právní a bezpečnostní rizika, plynoucí z nesprávného používání softwaru.
  • Umožní růst IT díky zjištění, jaký software je potřeba, včetně předvídání budoucí potřeby softwaru.

Shrnutí

Obdržení oznámení o auditu může být jistě alarmující. Nicméně, pokud jste podnikli nezbytné kroky, abyste se ujistili, že vše organizace dodržuje licenční podmínky, bude audit méně náročný na zdroje, a nakonec vám poskytne finanční záruky. Interní softwarové audity je důležité provádět podle pravidelného plánu, například jednou nebo dvakrát ročně, nebo tak, jak je to pro váš podnikatelský cyklus nejlepší. Pravidelné audity pomáhají minimalizovat bezpečnostní, právní a provozní rizika, spojená s licencováním softwaru.

SoftwareONE může vaší společnosti pomoci jak s vyhodnocením vyspělosti SAM, tak i posouzením dodržování licenčních podmínek softwaru, v zájmu identifikace rizik a vytvoření akčního plánu.

Důvod k obavám existuje i v případě, že nejste auditováni, s ohledem na software, který je využíván v cloudu. Naše zkušenosti ukazují, že většina společností nemá správné nástroje pro řízení jejich nákladů na cloud, poskytující přehled o tom, kde se spotřeba v rámci firmy čerpá, a umožňující přesnější plánování do budoucna. Společnost SoftwareONE již mnoha firmám pomohla získat přístup k těmto datům a také omezit riziko výrazného překročení rozpočtu na cloudové služby, vedoucí k plýtvání prostředky.

Naší radou je jako vždy – být proaktivní. Věnujte čas porozumění vašim nárokům, vašim on-premise instalacím a vaší spotřebě cloudových služeb. I malá investice se zde může vyplatit díky rychlé a rozsáhlé návratnosti. Promluvte si s vaším zástupcem v SoftwareONE o tom, jak vám můžeme pomoci.

Přidat komentář